Bạn có thể chuyển sang phiên bản mobile rút gọn của Tri thức trực tuyến nếu mạng chậm. Đóng

Tesla Model S dễ bị tin tặc tấn công

Tesla Model S là một chiếc xe hiện đại, sử dụng điện toán đám mây để điều khiển các chức năng bằng smartphone qua giao thức API riêng, nhưng cũng chính điều này là “lỗ hổng chết người” khiến nó dễ bị tin tặc tấn công.

Theo một bài viết trên tạp chí O’Reilly Community, được viết bởi George Reese, Giám đốc điều hành quản lý điện toán đám mây tại Dell, Tesla phát triển và sử dụng giao thức xác thực API riêng của mình, trong đó cho phép giới tin tặc truy cập vào một số chức năng của Model S quá dễ dàng. Reese cho biết, chính ông cũng đang sở hữu một chiếc Model S.

Đây là chiếc xe hiện đại với khả năng kết nối, điều khiển qua smartphone.

Khi bạn đỗ một chiếc Tesla ở bãi đậu xe, dù cửa sổ trời được mở hay đóng, không có ai ngồi bên trong hay ở gần nó, bạn vẫn có nguy cơ bị tin tặc tấn công. Tesla Model S hội tụ đủ những thế mạnh của một chiếc xe, tuy nhiên, bản báo cáo mới đây cho thấy, nó vẫn tồn tại một điểm yếu: sự an toàn của các API (giao diện lập trình ứng dụng).

Tesla REST API được truy cập thông qua một cổng thông tin dựa trên web, thường là chủ sở hữu Model S dùng iPhone hoặc smartphone chạy hệ điều hành Android để thực hiện một loạt các nhiệm vụ thông thường và kiểm tra tình trạng của xe.

Tesla sử dụng email và mật khẩu đã đăng ký của chủ sở hữu chiếc xe để truy cập vào các API thông qua một cổng web, tạo ra một “token” (mã xác thực) kéo dài trong ba tháng. Trong thời gian đó, chủ sở hữu truy cập REST API Tesla thông qua các mã xác thực không sử dụng thông tin đăng nhập của họ.

Mẫu xe này có thể bị tin tặc tấn công.

Thật không may, các mã xác thực của mỗi chiếc xe được lưu trữ trên cơ sở dữ liệu trang web, đây chính là điểm yếu “chết người”, quá dễ dàng cho hacker. Reese giải thích, nếu một khi hacker truy cập, nó có thể làm tê liệt tất cả những xe ô tô trên trang web đó trong vòng 3 tháng. Chủ sở hữu không thể làm bất cứ điều gì tác động vào những ứng dụng trên chiếc xe của mình.

Những ngày này, không có cách nào khôi phục quyền truy cập vào một ứng dụng bị xâm nhập. Reese nói rằng điều này có thể dẫn đến một vụ tai nạn nếu những tin tặc dùng phần mềm độc hại để truy cập.

API có thể kiểm tra sạc pin của xe, hoạt động kiểm soát khí hậu, hoạt động cửa sổ trời, xác định vị trí xe, bấm còi, mở cửa garage và thực hiện các hoạt động tương tự khác.

Tuy nhiên, ông cảnh báo, “điều đáng sợ nhất là API có thể được sử dụng để theo dõi vị trí di chuyển của bạn”. Ít nhất nó vẫn chưa phải là một cuộc tấn công trên quy mô lớn, nhưng nó cũng thực sự đáng sợ.

Xem thêm hình ảnh về chiếc Tesla Model S, một trong những chiếc sedan động cơ điện hạng sang đầu tiên trên thế giới đoạt giải "Mẫu xe của năm" từ tạp chí Automobile:

 

Anh Minh

Bạn có thể quan tâm