Dễ dàng bị hack bằng thiết bị rẻ tiền, xe điện Tesla đặt ra nhiều nghi vấn về bảo mật

Hà Anh

(SHTT) - Các hacker “mũ trắng” đã sử dụng Flipper Zero, một thiết bị có giá 169 USD (gần 4 triệu VNĐ), cùng bộ phát Wifi để đánh cắp thông tin người dùng và đột nhập thành công vào một chiếc Tesla Model 3.

(Chuyên gia an ninh mạng dễ dàng vượt qua lớp bảo mật của chiếc Tesla. Ảnh: Shutterstock)

Song hành với những chiếc xe điện, chìa khóa kỹ thuật số (Digital key) đang xuất hiện ngày càng phổ biến hơn nhờ tính tiện lợi của mình. Tuy nhiên, điều này cũng vô tình tạo ra lỗ hổng về an ninh để kẻ gian dễ dàng lợi dụng.

Các nhà nghiên cứu an ninh mạng của Tập đoàn công nghệ Mysk, Tommy Mysk và Talal Haj Bakry đã chứng minh nguy cơ này thông qua một thử nghiệm. Họ tìm ra cách truy cập vào tài khoản Tesla để tạo chìa khóa kỹ thuật số trước khi mở khóa xe.

Bằng thiết bị Flipper Zero cùng với bộ phát Wifi, hai chuyên gia mạng đã tạo và khởi chạy một trang đăng nhập Tesla giả, rồi lừa nạn nhân chia sẻ thông tin đăng nhập của họ. Dù được bảo vệ bằng lớp xác thực hai yếu tố (2FA), hệ thống an ninh của Tesla cũng dễ dàng bị Tommy và Talal vượt qua.

Flipper Zero có giá 169 USD, được coi như một “con dao quân đội Thụy Sĩ” đối với các nhà nghiên cứu bảo mật. Thiết bị cho phép người dùng đọc, sao chép và mô phỏng tần số vô tuyến, giao tiếp trường gần (NFC), Bluetooth, Wifi và radio từ xa. Canada hiện đã có những biện pháp cấm sử dụng thiết bị này.

Hai nhà nghiên cứu đã tiến hành thủ thuật trên bằng việc phát mạng Wifi công cộng có tên “Tesla Guest”, được đặt tên giống các mạng được sử dụng tại các trung tâm dịch vụ của Tesla, thông qua Flipper Zero.

Nếu một người truy cập Wifi này và điền thông tin đăng nhập của họ vào màn hình đăng nhập Tesla ngụy tạo, thông tin xác thực của người dùng, bao gồm địa chỉ email, mật khẩu và mã 2FA sẽ xuất hiện trên màn hình của Flipper Zero. Với thông tin này, hacker có thể khởi chạy ứng dụng Tesla và truy cập vào tài khoản của nạn nhân.

Ứng dụng này cung cấp vị trí trực tiếp của chiếc Tesla dù hacker không cần phải kích hoạt trước chìa khóa kỹ thuật số có trên điện thoại của chủ xe. Nếu kích hoạt chìa khóa gần với xe của nạn nhân, hacker có thể điều khiển nó từ xa bằng Bluetooth.

Vì không có cảnh báo nào hiện lên ứng dụng của người dùng hoặc màn hình cảm ứng tích hợp trong ô tô để thông báo về một thiết bị mới đã được thêm vào tài khoản, chủ nhân chiếc xe sẽ không biết có người đã xâm nhập tài khoản và đang cố gắng kiểm soát ô tô của họ.

Bằng cách khai thác này, hai nhà nghiên cứu đã mở khóa thành công chiếc Tesla Model 3 và cài thêm một chìa khóa kỹ thuật số bên ngoài vào ứng dụng của xe.

Dù sách hướng dẫn sử dụng Tesla nêu rõ, để xóa bớt hoặc thêm vào một chìa khóa kỹ thuật số sẽ phải dùng tới thẻ chìa khóa vật lý, nhưng nhóm nghiên cứu đã chứng minh rằng điều này chỉ áp dụng cho việc xóa chìa khóa. Phản hồi trước báo cáo này, Tesla Product Security đã gọi đây là “hành vi có chủ ý”.

Các nhà nghiên cứu bảo mật cho rằng cần bắt buộc việc xác thực thẻ chìa khóa và chủ sở hữu Tesla nên nhận được thông báo nếu một chìa khóa mới được thêm vào tài khoản của họ.