Hơn 1 tỉ thiết bị và 350 triệu ô tô có thể bị hacker chiếm quyền điều khiển, Volkswagen phản hồi
Hàng trăm triệu ô tô Mercedes-Benz, Volkswagen, Skoda cùng hơn 1 tỉ thiết bị công nghiệp, y tế, di động, tiêu dùng có thể dễ bị tổn thương trước chuỗi tấn công mang tên PerfektBlue.
Bốn lỗ hổng trong một bản triển khai Bluetooth phổ biến có thể bị hacker khai thác theo chuỗi để thực thi mã từ xa (Remote Code Execution hay RCE) trên hàng triệu ô tô và các thiết bị đa dạng khác, rồi xâm nhập hoặc chiếm quyền điều khiển.
Các nhà nghiên cứu từ hãng PCA Cyber Security (Hungary) đã phát hiện một loạt lỗ hổng trong Blue SDK.
Do công ty OpenSynergy (Đức) phát triển, Blue SDK là ngăn xếp giao thức Bluetooth kiêm bộ phát triển phần mềm (SDK).
Khi kết hợp lại, các lỗ hổng này cho phép các nhà nghiên cứu thực thi mã từ xa trên các thiết bị sử dụng Blue SDK cho kết nối Bluetooth. Họ đặt tên chuỗi khai thác này (tập hợp nhiều lỗ hổng được kết hợp lại để thực hiện một cuộc tấn công hoàn chỉnh - PV) là PerfektBlue.
PCA Cyber Security là hãng an ninh mạng tập trung vào bảo mật sản phẩm nhúng và tình báo về mối đe dọa, đặc biệt là trong ngành ô tô.
OpenSynergy là công ty chuyên về phần mềm nhúng, thành lập vào năm 2007 và đã được Panasonic mua lại năm 2016.
Ngăn xếp giao thức Bluetooth là tập hợp các lớp phần mềm giúp thiết bị thực hiện các chức năng Bluetooth (gửi/nhận dữ liệu, ghép nối, phát hiện thiết bị...).
SDK (Software Development Kit) là bộ công cụ dành cho lập trình viên để phát triển phần mềm, gồm các thư viện, tài liệu và công cụ hỗ trợ.
Quy mô hệ thống bị ảnh hưởng là rất lớn. OpenSynergy tuyên bố trên trang chủ rằng Blue SDK cùng RapidLaunch SDK (được xây dựng trên nền Blue SDK và cũng có thể bị ảnh hưởng) đã tích hợp vào 350 triệu ô tô.
Các ô tô này đến từ Volkswagen (Đức), Mercedes-Benz (Đức), Skoda (Cộng hòa Séc) và một công ty thứ tư chưa được nêu tên. Ford (Mỹ) tích hợp Blue SDK vào hệ thống thông tin giải trí trong ô tô sử dụng hệ điều hành Android từ tháng 11.2024. Trang DR đã liên hệ để xem Ford có bị ảnh hưởng không.
Không chỉ ô tô, OpenSynergy còn tuyên bố Blue SDK đã được tích hợp vào hơn 1 tỉ thiết bị nhúng trên toàn cầu, gồm cả trong lĩnh vực tiêu dùng, di động, công nghiệp và y tế.
Thiết bị nhúng có vi xử lý hoặc vi điều khiển được tích hợp sẵn bên trong, dùng để điều khiển một chức năng cụ thể, thường không giống máy tính đa năng.
Các đặc điểm chính của thiết bị nhúng
Chuyên dụng: Được thiết kế để thực hiện một tác vụ hoặc tập hợp các tác vụ cụ thể, không phải là thiết bị đa năng. Ví dụ, một hệ thống nhúng trong lò vi sóng chỉ để điều khiển việc nấu nướng, không phải để duyệt web hay chơi game.
Tích hợp: Gồm cả phần cứng và phần mềm, được gắn chặt vào thiết bị mà nó điều khiển. Phần mềm của thiết bị nhúng thường được gọi là firmware và được lưu trữ trong các chip bộ nhớ (ROM, Flash).
Tự động hóa cao: Thường hoạt động một cách tự động, ít hoặc không cần sự can thiệp của người dùng sau khi đã được cài đặt.
Giới hạn tài nguyên: Thường có bộ vi xử lý (CPU hoặc vi điều khiển), bộ nhớ và các thiết bị vào/ra có tài nguyên hạn chế hơn so với máy tính thông thường, nhằm tối ưu hóa chi phí và không gian.
Độ tin cậy cao: Nhiều thiết bị nhúng đòi hỏi độ ổn định và tin cậy tuyệt đối, đặc biệt trong các ứng dụng quan trọng như y tế, hàng không hoặc điều khiển công nghiệp. Một lỗi nhỏ có thể gây ra hậu quả nghiêm trọng.
Tương tác với thế giới thực: Thường tương tác với môi trường bên ngoài thông qua các cảm biến (để thu nhận thông tin) và các cơ cấu chấp hành (để tác động lại môi trường).
Có thể có hoặc không có giao diện người dùng: Một số thiết bị nhúng có giao diện đơn giản (như đèn LED, nút bấm), trong khi số khác sở hữu giao diện phức tạp hơn (như màn hình cảm ứng). Nhiều thiết bị hoạt động hoàn toàn không có giao diện người dùng trực tiếp.
Ứng dụng của thiết bị nhúng
Thiết bị nhúng có mặt ở khắp mọi nơi trong cuộc sống hàng ngày, dù chúng ta có thể không nhận ra. Một số ví dụ phổ biến:
Điện tử tiêu dùng: smartphone, máy ảnh kỹ thuật số, tivi thông minh, máy chơi game, đồng hồ thông minh, máy giặt, tủ lạnh, lò vi sóng, điều hòa, robot hút bụi.
Ô tô và giao thông vận tải: Hệ thống điều khiển động cơ, hệ thống phanh ABS, túi khí, hệ thống thông tin giải trí, hệ thống điều hướng GPS, đèn giao thông, camera giao thông.
Y tế: Máy theo dõi nhịp tim, máy siêu âm, máy chụp cộng hưởng từ, máy bơm insulin, thiết bị đeo tay theo dõi sức khỏe.
Công nghiệp và tự động hóa: Hệ thống điều khiển nhà máy, robot công nghiệp, các thiết bị đo lường và kiểm soát trong sản xuất.
Internet vạn vật (IoT): Các cảm biến thông minh, thiết bị nhà thông minh, thiết bị đeo được kết nối internet. IoT là khái niệm dùng để chỉ mạng lưới các thiết bị vật lý được kết nối internet, có khả năng thu thập, truyền tải và chia sẻ dữ liệu với nhau mà không cần (hoặc rất ít) sự can thiệp của con người.
Hàng không và vũ trụ: Hệ thống điều khiển máy bay, vệ tinh, thiết bị định vị.
Thiết bị mạng: Router (bộ định tuyến), modem, bộ chuyển mạch, tường lửa.
Nhờ sự phát triển không ngừng của công nghệ, các thiết bị nhúng ngày càng trở nên mạnh mẽ, nhỏ gọn và thông minh hơn, đóng vai trò then chốt trong việc tạo ra một thế giới kết nối và tự động hóa.
Khai thác PerfektBlue
Giống mọi cuộc tấn công qua Bluetooth khác, rào cản chính khi khai thác PerfektBlue là khoảng cách vật lý. Kẻ tấn công phải tiếp cận trong phạm vi khoảng 10 mét so với thiết bị mục tiêu để ghép nối Bluetooth, và thiết bị cũng phải cho phép điều này. Do Blue SDK chỉ là khung phần mềm, các thiết bị khác nhau có thể chặn ghép nối, giới hạn số lượng yêu cầu ghép nối mà kẻ tấn công có thể thực hiện, hoặc ít nhất là yêu cầu một cú click để chấp nhận ghép nối.
Khung phần mềm là bộ khung lập trình đã được thiết kế sẵn, cung cấp các thành phần và quy tắc để giúp lập trình viên phát triển phần mềm dễ dàng hơn, nhanh hơn và nhất quán hơn.
Tuy nhiên, đây là điểm gây tranh cãi giữa các nhà nghiên cứu bảo mật và hãng Volkswagen. Volkswagen nói với trang DR rằng việc khai thác phụ thuộc vào 5 điều kiện rất cụ thể:
1. Kẻ tấn công ở trong phạm vi tối đa 5 - 7 mét so với ô tô.
2. Ô tô phải bật khóa điện.
3. Hệ thống thông tin giải trí trong xe phải ở chế độ ghép nối.
4. Người dùng phải chủ động chấp nhận kết nối Bluetooth bên ngoài.
5. Kẻ tấn công phải đứng gần ô tô 5 - 7 mét để giữ quyền truy cập (vì Bluetooth có giới hạn về khoảng cách kết nối).
Tuy nhiên, Mikhail Evdokimov, nhà nghiên cứu bảo mật cao cấp tại PCA Cyber Security, phản bác rằng một số điều kiện này không đúng.
“Thường thì trong các ô tô hiện đại, hệ thống thông tin giải trí có thể được bật mà không cần khởi động xe (bật khóa điện). Ví dụ, với Volkswagen ID.4 và Skoda Superb thì không cần”, ông nói. Dù việc truy cập ban đầu yêu cầu khoảng cách gần về mặt vật lý, kẻ tấn công có thể khai thác PerfektBlue để cài phần mềm độc hại rồi truy cập từ xa sau này qua mạng, duy trì kết nối ở bất kỳ khoảng cách nào.
Ngay cả điều kiện tiên quyết về “chế độ ghép nối” cũng không hoàn toàn đúng. Nhóm đánh giá bảo mật của PCA Cyber Security nói rằng: “Điều đó phụ thuộc vào từng loại ô tô. Trong trường hợp của Mercedes-Benz NTG6 thì đúng. Song với Volkswagen ID.4 và Skoda Superb, kẻ tấn công có thể khởi động quy trình ghép nối từ xa. Việc này không cần người dùng phải đặt hệ thống thông tin giải trí vào chế độ ghép nối”.
Hậu quả tiềm ẩn
Trong báo cáo được công bố, PCA Cyber Security cảnh báo PerfektBlue có thể cho phép kẻ tấn công theo dõi ô tô qua GPS (hệ thống định vị toàn cầu), ghi lại âm thanh trong xe, đánh cắp dữ liệu cá nhân, chẳng hạn danh bạ điện thoại…
Dù chưa thử nghiệm trực tiếp, các nhà nghiên cứu cho biết việc xâm nhập hệ thống thông tin giải trí trong ô tô có thể dẫn tới các mối đe dọa cho các hệ thống quan trọng khác.
“Bạn có thể xem PerfektBlue như một điểm truy cập vào hạ tầng nội bộ của ô tô, gồm hàng chục mô đun và hệ thống khác nhau. Khi đã thực thi được mã trong một mô đun, kẻ tấn công có được bề mặt tấn công khá rộng để tiến xa hơn, mà cuối cùng có thể dẫn đến việc xâm phạm các bộ phận quan trọng của ô tô”, PCA Cyber Security viết.
Thế nhưng, Volkswagen nói với báo chí rằng PerfektBlue không thể ảnh hưởng đến các hệ thống nằm sâu hơn trong ô tô của họ, chẳng hạn lái và điều khiển phanh, vì có các lớp bảo mật can thiệp.
Khó khăn trong việc vá lỗi
OpenSynergy cho biết đã phát hành bản vá cho khách hàng. Tuy nhiên có những dấu hiệu cho thấy một số lượng không nhỏ các thiết bị chịu ảnh hưởng vẫn dễ bị tấn công. Ví dụ, vào ngày 23.6 vừa qua, một nhà sản xuất thiết bị gốc (OEM) giấu tên nói với các nhà nghiên cứu rằng chưa nhận được bản vá, thậm chí chưa được thông báo rằng thiết bị của họ có lỗ hổng.
Nick Tausek, kiến trúc sư trưởng về tự động hóa bảo mật tại hãng Swimlane (Mỹ), cho rằng cần thông cảm với OpenSynergy.
“Mối quan hệ phức tạp giữa nhà cung cấp và hãng sản xuất, rủi ro tấn công chuỗi cung ứng ngày càng tăng, tình trạng thiếu hồ sơ thành phần phần mềm (SBOM) cùng việc ngừng hỗ trợ sản phẩm khiến việc biết thiết bị nào bị ảnh hưởng và triển khai bản vá trở nên rất khó khăn. Việc thông báo chậm đến các OEM, đặc biệt là nhà sản xuất hậu mãi là điều dễ hiểu, và việc vá lỗi thường yêu cầu mang ô tô đến đại lý”, ông lý giải.
Nick Tausek nói thêm: “Với tôi, những vụ tấn công như PerfektBlue trong lịch sử cho thấy bối cảnh phức tạp của việc vá lỗi cho thiết bị IoT (internet vạn vật), hơn là đại diện mối đe dọa thực sự với người dùng thông thường”.
Hiện OpenSynergy chưa bình luận về thông tin trên.
Nhà sản xuất hậu mãi là công ty tạo ra các linh kiện hoặc phụ kiện để thay thế, nâng cấp hoặc bổ sung cho sản phẩm gốc đã bán, đặc biệt phổ biến trong ngành ô tô, điện tử, công nghiệp.