Hack màn hình xe trong “phút mốt”, nhóm hacker được thưởng một chiếc Tesla Model 3 và 350.000 USD
Đỗ Kỷ 12:08 - 31/03/2023
Một nhóm hacker vừa được thưởng một chiếc Tesla Model 3 và 350.000 USD tiền mặt sau khi hack thành công hệ thống thông tin giải trí của xe Tesla. Màn tấn công được trình diễn tại hội nghị hacker mũ trắng Pwn2Own 2023 được tổ chức ở Vancouver hồi tuần trước. Pwn2Own là hội nghị thường niên, quy tụ các hacker mũ trắng, những người sử dụng kỹ năng của mình để chỉ cho các hãng thấy những lỗ hổng bảo mật để khắc phục trước khi bị kẻ xấu lợi dụng.
Nhóm hacker này có tên Synacktiv và họ có thời gian 10 phút để hack hệ thống thông tin giải trí được bảo vệ chặt chẽ của Tesla. Hệ thống này được cài đặt trong màn hình trung tâm của chiếc Tesla và đảm nhiệm việc điều khiển mọi khía cạnh của chiếc xe. Chỉ trong chưa đầy 4 phút kể từ khi đồng hồ đếm ngược bắt đầu, nhóm hacker đã có quyền truy cập vào toàn bộ các hệ thống quan trọng của ô tô, kiểm soát hoàn toàn phương tiện.
Nhóm hacker Synacktiv hack hệ thống thông tin giải trí trên xe Tesla qua kết nối Bluetooth
Vụ hack này không thực sự được diễn ra trong một chiếc xe Tesla. Chiếc màn hình trung tâm đã được tháo ra khỏi xe để cách ly môi trường và đề phòng các hành vi bất ngờ xảy ra với chính chiếc xe. Tuy nhiên, đây vẫn là một chiếc màn hình lấy trực tiếp từ một chiếc xe Tesla và chạy hệ điều hành của chiếc xe.
“Tất nhiên là chúng tôi muốn hack trực tiếp trên chiếc xe nhưng có quá nhiều yếu tố có thể gây nguy hiểm cho những người xung quanh phương tiện, bao gồm cả những phương tiện đang đỗ trong tòa nhà”, Dustin Childs, trưởng nhóm phát hiện mối đe dọa của Zero Day Initiative chia sẻ. “Chúng tôi thích hack trong một môi trường được kiểm soát tốt”.
Trong vòng 2 phút, nhóm hacker đã thực hiện thành công phần đầu tiên của chuỗi tấn công đó là khởi động lại màn hình và hiển thị logo của chính họ trên màn hình.
Mặc dù các chi tiết kỹ thuật của vụ hack đang được giữ kín nhưng các chuyên gia cho rằng Synacktiv đã sử dụng phương thức tấn công time-of-check to time-of-use (TOCTOU). Ví dụ: Hệ thống của Tesla có thể kiểm tra xem một file nào đó có tồn tại hay không và trong thời gian hệ thống đang kiểm tra và khởi chạy tệp đó thì tệp đó đã được thay thế bằng tệp khác có chứa mã độc.
Theo Zero Day Initiative, cuộc tấn công tinh vi tới mức nó đã mang về cho Synacktive giải thưởng mức 2 đầu tiên. Điều này có nghĩa là ngoài 100.000 tiền thưởng ban đầu, nó còn mang về cho họ 250.000 USD tiền thưởng thêm và nhiều khoản thưởng nhỏ khác.
Tổng cộng tại Pwn2Own 2023, các hacker được thưởng 1.035.000 USD thì riêng Synacktiv đã giành được hơn 1 nửa, lên tới 530.000 USD. Bên cạnh đó, họ còn được thưởng riêng một chiếc xe Tesla Model 3 mới. Năm ngoái, nhóm này cũng đã kiếm được 75.000 USD khi trình diễn một cách hack vào hệ thống của Tesla mà không cần sự tương tác của nạn nhân.
Trong ngành công nghiệp xe hơi, Tesla là hãng tích cực nhất trong việc khuyến khích các hacker tìm kiếm lỗ hổng trên hệ thống của họ. Tesla tổ chức riêng một chương trình sẵn lỗi nhận thưởng với phần thưởng lên tới 15.000 USD cho một lỗ hổng được phát hiện.