Xe Mazda có thể ‘bị hack’ bằng một ổ USB

Một số mẫu xe Mazda đang sử dụng hệ thống thông tin giải trí Mazda MZD Connect như CX-5, CX-9, Mazda3, Mazda2 hay Mazda6… có thể bị tấn công bằng cách cắm USB vào bảng điều khiển.

Vấn đề này được kỹ sư bảo mật ứng dụng Jay Turla từ Bugcrowd chia sẻ trên các trang công nghệ, sau một thời gian nghiên cứu.

Lỗ hổng công nghệ từ hệ thống giải trí trên một số mẫu xe Mazda đã được các thành viên tham gia diễn đàn Mazda3Revolution phát hiện từ tháng 5.2014. Kể từ đó, nhiều kỹ sư công nghệ cũng như cộng đồng chủ sở hữu xe Mazda đã tận dụng lỗ hổng này để tùy chỉnh hệ thống thông tin giải trí, cài đặt những ứng dụng mới trên các xe Mazda của họ. Một trong những công cụ được sử dụng phổ biến nhất là MZD-AIO-TI (MZD All In One Tweaks Installer).

Từ đây, Jay Turla đã bắt tay vào dự án nghiên cứu về ‘hacking’ xe Mazda để cho ra Mazda_getInfo, một công cụ tự động “hack” xe Mazda được cung cấp dưới dạng mã nguồn mở trên GitHub. Để thực hiện dự án này, Jay Turla đã tự bỏ tiền mua một chiếc Mazda để sử dụng và phục vụ cho việc nghiên cứu. Trên trang công nghệ Bleeping Computer, Turla chia sẻ: “Tôi chỉ muốn kiểm tra xem những cách nào có thể tấn công vào lỗ hổng công nghệ trên chiếc xe của tôi. Đây chỉ là một dự án cá nhân vì tôi rất hứng thú trong chuyến đi tới Car Hacking Village tại DEF CON 23 ở Vegas năm ngoái. Hiện tại, tôi cũng có một vài người bạn ở Philippines đang tham gia vào nghiên cứu các lỗ hỗng công nghệ trên xe hơi”.

Mazda_getInfo của Turla, cho phép người sử dụng xe Mazda tải về USB cá nhân, sau đó gắn vào bảng điều khiển của xe và thực hiện đoạn mã khai thác những lỗ hổng phần mềm quản lý hệ thống thông tin giải trí Mazda MZD Connect. Trong quá trình nghiên cứu, Turla đã thử nghiệm các kiểu tấn công vào lỗ hổng này bằng cách tự viết các mã lệnh hay tập lệnh để thay đổi. Vì MZD Connect là hệ thống dựa trên NIX, nên bất kỳ ai cũng có thể tạo và thực thi lệnh cho những kiểu tấn công khác.

Việc tấn công sẽ tự động diễn ra gay sau khi USB được cắm vào bảng điều khiển trong lúc xe đang hoạt động hoặc đang ở chế độ Accessory Mode. Cách tấn công này dù không thể khởi động hay điều khiển được xe, nhưng lỗ hổng công nghệ sẽ được các hacker khai thác để cài đặt mã độc trên các xe Mazda.

Tuy nhiên, theo Mazda, với dự án MZF-AIO-TI lỗ hổng công nghệ này đã được khắc phục trên bản cập nhật phần mềm quản lý kết nối MZD Connect 59.00.502. Để hạn chế tối đa khả năng “bị hack”, chủ sở hữu có thể đưa xe đến hệ thống đại lý, trung tâm dịch vụ chính hãng để cập nhập firmware.

Phản hồi về thông tin liên quan đến vấn đề này trên trang Bleeping Computer, đại diện Mazda đã xua tan mọi lo lắng từ phía người dùng xe Mazda, khi cho biết: “Mazda Connect chỉ kiểm soát rất ít các tính năng trên xe. Hệ thống này chỉ có thể điều khiển thiết lập các chức năng như khóa điều khiển từ xa, thông tin hiển thị trên Active Driving Display. Tuy nhiên, hệ thống không thể can thiệp vào các chức năng điều khiển hệ thống lái như vô lăng, tốc độ vận hành hay phanh xe”. Hiện tại, các xe Mazda được trang bị hệ thống Mazda MZD Connect, bao gồm: Mazda CX-3, Mazda CX-5, Mazda CX-7, Mazda CX-9, Mazda2, Mazda6 và Mazda MX-5.

Jay Turla cũng đã vạch ra những kế hoạch mới cho việc nghiên cứu của ông về lỗ hổng công nghệ trên xe hơi. “Trong thời gian tới, tôi sẽ thử một số mẫu xe mới như Tesla S, Honda City 2017 hoặc một chiếc Mitsubishi đời 2017. Hy vọng tôi sẽ được thử nghiệm thực tế trên bảng điều khiển và hệ thống thông tin giải trí trên các xe mới sẽ được giới thiệu tại Car Hacking Village của DEF CON năm nay”. Turla chia sẻ.

Việc nghiên cứu các lỗ hổng công nghệ trên ô tô nhằm hạn chế việc bị hacker tấn công đã được các nhà sản xuất ô tô cũng như các hãng công nghệ đặc biệt quan tâm trong thời gian qua, nhất là khi nhiều công nghệ thông minh được trang bị trên ô tô. Tuần trước, chuyên gia nghiên cứu người Mỹ Aaron Guzman đã chỉ ra các lỗ hổng công nghệ trên mẫu xe Subaru WRX STI 2017.

Hoàng Cường