Lỗ hổng chết người của Sirius XM giúp kẻ gian mở khóa hàng loạt ôtô

Thảo Nguyễn13:32 05/12/2022

Thông báo cho thấy những chiếc xe của Honda, Nissan, Infiniti và Acura có thể dễ dàng bị kẻ gian mở khóa bằng phần mềm Sirius XM.

Việc khởi động xe từ xa bằng điện thoại đã không còn quá xa lạ với người dùng trên thế giới cũng như tại Việt Nam. Tuy nhiên, cái gì “hiện đại quá cũng hại điện” và có thể dễ dàng bị kẻ gian “hack” được nếu phần mềm của hãng hay bên thứ 3 nếu có lỗ hổng chết người.

Mới đây, phần mềm Sirius XM đã buộc phải sửa một lỗ hổng bảo mật cho phép tin tặc mở khóa, khởi động, định vị, nhấp nháy và bấm còi từ xa của bất kỳ mẫu xe nào đến từ 4 thương hiệu Honda, Nissan, Infiniti và Acura nếu được trang bị kết nối từ xa.

Lỗ hổng chết người của SiriusXM có thể giúp kẻ gian mở khóa, khởi động từ xa loạt xe ôtô của nhiều hãng

Một hacker nổi tiếng tên là Sam Curry gần đây đã phát hiện ra lỗ hổng bảo mật Sirius XM và trình bày chi tiết quá trình này trong một loạt các tweet. Sau khi tìm thấy một loạt các lỗ hổng ảnh hưởng đến các công ty ô tô khác nhau, Curry và nhóm của ông bắt đầu tìm kiếm một dịch vụ cung cấp dịch vụ viễn thông cho tất cả các công ty đó. Nó phát hiện ra rằng SiriusXM đã được sử dụng trong tất cả các phương tiện bị ảnh hưởng và sau đó được xác định thông qua việc sử dụng ứng dụng NissanConnect rằng có thể kiểm tra và sửa đổi mã HTTP.

Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng. Tin tặc đã phát hiện ra tên, số điện thoại, địa chỉ và thông tin chi tiết về ôtô của chủ sở hữu, đồng thời cũng có thể ra lệnh cho phương tiện chỉ bằng cách biết số VIN của ôtô.

Video đang HOT

Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng.

Ngay sau khi phát hiện ra lỗ hổng, Curry và nhóm của anh ấy đã báo cáo sự cố với SiriusXM, người đã nhanh chóng vá nó.

“Chúng tôi coi trọng vấn đề bảo mật tài khoản của khách hàng và tham gia vào chương trình tiền thưởng lỗi để tri ân những người giúp mình xác định và sửa các lỗi bảo mật tiềm ẩn ảnh hưởng đến nền tảng của chúng tôi,” người phát ngôn của Sirius XM Connected Vehicle Services nói với The Register.

“Là 1 phần của công việc, một nhà nghiên cứu bảo mật đã gửi báo cáo tới dịch vụ phương tiện được kết nối của Sirius XM về một lỗ hổng ủy quyền ảnh hưởng đến một chương trình viễn thông cụ thể. Vấn đề đã được giải quyết trong vòng 24 giờ sau khi báo cáo được gửi. Không có bất kỳ người đăng ký hoặc dữ liệu nào khác bị xâm phạm cũng như không có bất kỳ tài khoản trái phép nào bị sửa đổi bằng phương pháp này.”

Curry tiết lộ rằng các nhà sản xuất ôtô đã cho phép chủ sở hữu xác thực dữ liệu thông qua một ứng dụng di động, chẳng hạn như ứng dụng Nissan Connected và MyHonda.

3 ứng dụng bạn nên xóa nếu không muốn điện thoại bị tấn công từ xa

Theo các nhà nghiên cứu, nhiều lỗ hổng bảo mật vừa được phát hiện bên trong 3 ứng dụng Android, khiến điện thoại bị tấn công từ xa.

Các ứng dụng được đề cập bao gồm Lazy Mouse, PC Keyboard và Telepad. Trước khi bị xóa khỏi cửa hàng Google Play, chúng đã được tải xuống hơn 2 triệu lần, mặc dù vậy các ứng dụng vẫn tồn tại trên trang web riêng của nhà phát triển.

- Lazy Mouse (com.ahmedaay.lazymouse2 và com.ahmedaay.lazymousepro)

- PC Keyboard (com.beapps.pckeyboard)

- Telepad (com.pinchtools.telepad)

Theo Trung tâm Nghiên cứu An ninh mạng Synopsys (CyRC), các ứng dụng này được quảng cáo giúp biến điện thoại thông minh thành bàn phím và chuột không dây cho máy tính. Tuy nhiên, các nhà nghiên cứu đã tìm thấy tới 7 lỗ hổng liên quan đến tính năng xác thực, thiếu ủy quyền và giao tiếp không an toàn.

7 lỗ hổng từ CVE-2022-45477 đến CVE-2022-45483 có thể bị kẻ gian lợi dụng để thực hiện các lệnh lừa đảo, thu thập thông tin người dùng nhạy cảm từ xa.

Điều đáng chú ý là không có ứng dụng nào nhận được bất kỳ bản cập nhật nào trong hơn 2 năm, điều này đồng nghĩa với việc bạn chỉ có thể xóa ứng dụng ngay lập tức để tránh bị tấn công.

"3 ứng dụng này được sử dụng rộng rãi nhưng chúng không được duy trì cũng như không được hỗ trợ, và rõ ràng, bảo mật không phải là một yếu tố được quan tâm khi các ứng dụng này được phát triển", nhà nghiên cứu bảo mật Mohammed Alshehri của Synopsys cho biết.

Để xóa 3 ứng dụng kể trên (nếu bạn đã lỡ cài đặt trước đó), bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), tìm tên 3 ứng dụng và nhấn Uninstall (gỡ cài đặt).

Trước đó không lâu, các nhà nghiên cứu bảo mật tại Zimperium đã phát hiện ra một chiến dịch phần mềm độc hại được tiến hành từ năm 2018, khiến hơn 300.000 người có nguy cơ bị mất Facebook.

Theo báo cáo, phần mềm độc hại đã giả mạo là ứng dụng giáo dục Schoolyard Bully hoặc đọc truyện, lây nhiễm cho hàng trăm ngàn thiết bị ở 71 quốc gia, chủ yếu tập trung tại Việt Nam.

Con số này chỉ là ước tính ban đầu, bởi lẽ còn đến 37 ứng dụng nằm trong chiến dịch lần này được phân phối thông qua các cửa hàng của bên thứ ba, do đó, số lượng nạn nhân sẽ cao hơn thực tế khá nhiều.

Những người đứng sau Schoolyard Bully vẫn chưa được tiết lộ, tuy nhiên, các nhà phân tích cho rằng phần mềm độc hại được phát hiện lần này không liên quan đến FlyTrap, một loại Trojan được thiết kế đánh cắp tài khoản Facebook chủ yếu tại Việt Nam.

Hy vọng với những thông tin mà Kỷ Nguyên Số vừa cung cấp, bạn đọc sẽ biết cách gỡ cài đặt ứng dụng Lazy Mouse, PC Keyboard và Telepad, hạn chế tình trạng bị tấn công từ xa trong tương lai.

Người dùng laptop Acer nên cập nhật càng sớm càng tốt Acer vừa khắc phục một lỗ hổng nghiêm trọng, cho phép kẻ tấn công tắt tính năng Secure Boot trên nhiều mẫu laptop. Lỗ hổng nghiêm trọng trên các dòng laptop Acer Về cơ bản, tính năng bảo mật Secure Boot sẽ ngăn chặn các bộ nạp khởi động không đáng tin cậy trên những dòng laptop có chip TPM và sử dụng...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: honda nissan kẻ gian lỗ hổng mở khóa lỗ hổng bảo mật sirius xm honda acura sam curry

Xem thêm Share

Xem nhiều

Lễ đưa tang Kim Sae Ron: Mẹ ruột đi không vững trong giờ phút cuối cùng, dàn sao nghẹn ngào tiễn biệt01:06

Nam Thư bị chỉ trích vì mặc trang phục phản cảm, hớ hênh ngay trên thảm đỏ00:21

Lý Nhã Kỳ sau khi lộ bức ảnh xồ xề gây sốc: "Có thế lực nào đứng sau những trò ác ý này không?"00:33

Pha sang đường vỏn vẹn 16 giây của chiếc xe máy khiến hàng loạt phương tiện chao đảo00:16

Thảm đỏ hot nhất hôm nay: Lý Nhã Kỳ xuất hiện với visual lạ hoắc, một sao nữ Gen Z khoe vòng 1 đẹp ná thở01:49

Khả Như vào vai quỷ dữ, ăn thịt sống trong phim kinh dị02:29

Cindy Lư đáp trả khi bị nói ngoại tình, là nguyên nhân khiến Hoài Lâm tụt dốc không phanh00:18

Thách thức nhà vô địch thế giới, võ sĩ Trung Quốc bị đánh sưng mặt02:18

Ngoại hình gây sốc của G-Dragon00:19

Nhan sắc con gái Lee Dong Gun (Chuyện Tình Paris) gây sốc00:40

Video từ camera an ninh ghi lại khoảnh khắc tuổi thơ của một đứa trẻ sụp đổ00:17

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn