Các sự cố an ninh gần đây cho thấy ô tô kết nối internet có thể bị theo dõi và thậm chí bị chiếm đoạt thông qua các cuộc tấn công vào hệ thống thông tin giải trí, chìa khóa không dây và máy chủ đám mây của nhà sản xuất. Đáng chú ý, các nhà nghiên cứu mới đây đã phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống giám sát áp suất lốp điện tử (TPMS), có thể dẫn đến rò rỉ dữ liệu vị trí của xe.
Tất cả bắt nguồn từ việc hệ thống TPMS trong nhiều ô tô hiện nay gửi cảnh báo cho người lái khi áp suất lốp thấp, nhưng dữ liệu này được truyền dưới dạng văn bản thuần không mã hóa và kèm theo mã định danh duy nhất cho mỗi xe.
Quan trọng hơn, nghiên cứu đến từ nhóm bảo mật tại IMEDA Networks và một số trường Đại học Châu Âu cho thấy ngay cả các thiết bị không dây giá rẻ cũng có thể dễ dàng theo dõi tín hiệu từ TPMS, cho phép theo dõi người lái trong thời gian dài mà không bị phát hiện.
Các nhà sản xuất ô tô lớn như Toyota, Renault, Hyundai và Mercedes thường sử dụng các cảm biến TPMS trực tiếp (dTPMS), được lắp đặt bên trong vành bánh xe hoặc lớp lót lốp. Khác với TPMS gián tiếp, dTPMS truyền trực tiếp thông tin về áp suất và nhiệt độ lốp đến bộ điều khiển điện tử (ECU) của xe.
Nghiên cứu cho thấy, chỉ với khoảng 100 USD (khoảng 2,6 triệu đồng), các thiết bị di động có thể phát hiện các gói dữ liệu từ khoảng cách hơn 50 mét. Những kẻ tấn công có thể dễ dàng lắp ráp các thiết bị này và đặt chúng dọc theo các con đường để thu thập tín hiệu từ các phương tiện đang lưu thông.
Ô tô thông minh và bài toán bảo mật còn bỏ ngỏ
Việc giấu các thiết bị thu tín hiệu dọc theo các tuyến đường có thể cho phép kẻ xấu phân tích lưu lượng giao thông và tìm hiểu thói quen hàng ngày của người lái mà không cần sử dụng camera, từ đó tạo ra rủi ro lớn về quyền riêng tư. Mặc dù mã định danh TPMS rất khó nhận biết trong giao thông, nhưng việc cô lập mã này tại nhà riêng có thể cho phép kẻ tấn công theo dõi các phương tiện cụ thể trong nhiều ngày hoặc tuần.
Hậu quả của việc này rất nghiêm trọng. Kẻ trộm có thể nắm bắt lộ trình và lịch trình của các xe giao hàng, từ đó tìm cơ hội tốt nhất để cướp. Chúng cũng có thể ước tính trọng lượng hàng hóa dựa trên chỉ số áp suất lốp. Thậm chí, chúng có thể giả mạo cảnh báo lốp xẹp để buộc xe phải dừng lại, tạo điều kiện cho việc phục kích. Ngoài ra, các công ty có thể giám sát xe của nhân viên mà không cần sự đồng ý của họ, và các nhà chức trách có thể sử dụng tín hiệu này để thực hiện giám sát hàng loạt.
Mặc dù các nhà sản xuất ô tô và chính phủ đã thắt chặt các biện pháp an ninh mạng sau những sự cố trước đó, nhưng dường như họ vẫn chưa nhận thức được các lỗ hổng trong hệ thống TPMS. Các nhà nghiên cứu khuyến nghị các nhà sản xuất ô tô nên áp dụng các giao thức mã hóa để bảo vệ dữ liệu. Tuy nhiên, hiện tại chưa có tiêu chuẩn TPMS mở, điều đó có thể dẫn đến việc triển khai các hệ thống an ninh mới không đồng đều nếu các nhà sản xuất không giải quyết vấn đề này.
HẠNH NGUYÊN - Techspot
