​Hack xe Mazda 3, CX3, CX5... từ một ổ USB

Bảng điều khiển hệ thống thông tin của xe Mazda có thể bị 'hack' khi chưa nâng cấp phiên bản firmware mới - Ảnh: thestar.com

Chia sẻ từ kỹ sư bảo mật ứng dụng Jay Turla từ Bugcrowd với trang tin Bleeping Computer cho biết các đời xe Mazda gồm Mazda 2, Mazda 3, Mazda 6 cho đến CX-3, CX-5, CX-7, CX-9 và Mazda MX-5 đều có thể bị hack từ một ổ USB gắn vào bảng hệ thống thông tin giải trí (dashboard) của xe.

* Xem: 

Thực chất, các xe Mazda tồn tại một lỗ hổng bảo mật đã ba năm qua khi một thành viên trên diễn đàn Mazda3Revolution khám phá và công bố tháng 5-2014. Từ đó đến nay, nhiều kỹ sư dùng lỗ hổng này để tùy chỉnh hệ thống thông tin giải trí của xe Mazda cũng như tùy ý cài đặt những ứng dụng mới.

Một trong những công cụ phổ biến là MZD-AIO-TI (MZD All In One Tweaks Installer).

Kỹ sư Jay Turla cũng công bố một dự án của mình nghiên cứu về 'hacking' xe Mazda trên mạng nguồn mở Github tên mazda_getInfo, cho phép người sử dụng xe Mazda có thể tải về ổ đĩa USB, gắn vào bảng điều khiển của xe, chạy mã 'khai thác lỗi' trong phần mềm quản lý MZD Connect trong xe.

Lỗi bảo mật sẽ bị 'tấn công' ngay khi người dùng gắn ổ USB chứa mã khai thác vào bảng điều khiển của xe, mà không cần họ thao tác gì thêm. Tuy nhiên, ổ USB cần được gắn vào khi xe đang nổ máy, hoặc xe ở chế độ "Accessory mode". 

MZD Connect là hệ thống trên nền *NIX nên người dùng có thể tự viết các mã lệnh Linux hay tập lệnh để thay đổi hay bổ sung, 'chế biến' theo ý muốn. 

Tuy lỗ hổng có thể được tận dụng tùy chỉnh bởi dân thích 'vọc xe' nhưng nó cũng có thể bị kẻ xấu đưa xe Mazda của bạn vào mạng botnet của chúng bằng cách cài đặt Trojan hay mã độc.

Tin vui cho người... không thích vọc và không muốn bị kẻ xấu 'vọc xe' ngoài ý muốn, bản cập nhật phần mềm quản lý kết nối MZD Connect 59.00.502 đã khắc phục lỗ hổng này. Có thể đưa xe vào hệ thống bảo trì chính hãng để yêu cầu cập nhật firmware mới.

Trong phản hồi của Mazda với Bleeping Computer, hãng xe này cho biết Mazda Connect điều khiển một lượng rất ít các tính năng trong xe Mazda, và không thể bị truy xuất từ xa thông qua mạng không dây Wi-Fi. Mazda Connect có thể điều khiển các thiết lập chức năng như chức năng khóa điều khiển từ xa, thông tin hiển thị trên Active Driving Display... Nhưng chúng không quản lý bất kỳ tính năng điều khiển xe như tay lái, tăng tốc hay thắng xe (phanh).

Khai thác lỗ hổng phần mềm quản lý hay bảng điều khiển thông tin xe hơi không còn là điều mới mẻ, đặc biệt trong xu hướng xe thông minh nở rộ với những tính năng kết nối hiện đại như hiện nay. Tuần trước, xe Subaru WRX STI 2017 đã bị 'hạ gục' bởi một chuyên gia nghiên cứu người Mỹ Aaron Guzman.

Năm 2015, thế giới xôn xao vì công bố tấn công xe Jeep Cherokee từ xa của hai chuyên gia nổi tiếng Charlie Miller và Chris Valasek. Các hội nghị bảo mật nổi tiếng thường niên như DEF CON các năm trở lại đây cũng có khu riêng dành cho 'hack xe hơi' mang tên Car Hacking Village.