Một nhóm tin tặc có tên Synacktiv đã tấn công hệ thống thông tin giải trí của Tesla trong vòng chưa đầy 4 phút.
Một nhóm hacker vừa được thưởng một chiếc Tesla Model 3 và 350.000 USD tiền mặt sau khi hack thành công hệ thống thông tin giải trí của Tesla. Cuộc tấn công đã được chứng minh tại hội nghị hacker mũ trắng Pwn2Own 2023 được tổ chức tại Vancouver vào tuần trước. Pwn2Own là hội nghị thường niên quy tụ các hacker mũ trắng, những người sử dụng kỹ năng của mình để chỉ ra cho các công ty những lỗ hổng bảo mật cần khắc phục trước khi bị kẻ xấu lợi dụng.
Nhóm tin tặc này có tên là Synacktiv và họ có 10 phút để hack hệ thống thông tin giải trí được bảo vệ chặt chẽ của Tesla. Hệ thống này được cài đặt trong màn hình trung tâm của Tesla và đảm nhiệm việc kiểm soát mọi khía cạnh của chiếc xe. Chỉ chưa đầy 4 phút kể từ khi bắt đầu đếm ngược, nhóm hacker đã truy cập được vào tất cả các hệ thống quan trọng của xe, chiếm quyền kiểm soát hoàn toàn chiếc xe.
Vụ hack này không thực sự diễn ra trên một chiếc xe Tesla. Màn hình trung tâm đã được loại bỏ khỏi xe để cách ly môi trường và ngăn chặn hành vi bất ngờ xảy ra với chính chiếc xe. Tuy nhiên, đây vẫn là màn hình lấy trực tiếp từ xe Tesla và chạy hệ điều hành của xe.
“Tất nhiên chúng tôi muốn hack trực tiếp vào phương tiện, nhưng có quá nhiều yếu tố có thể gây nguy hiểm cho những người xung quanh phương tiện, bao gồm cả những phương tiện đậu trong tòa nhà”, Dustin Childs, trưởng nhóm phát hiện mối đe dọa của Zero Day Initiative chia sẻ. “Chúng tôi thích hack trong một môi trường được kiểm soát tốt.”
Trong vòng 2 phút, nhóm hacker đã thực hiện thành công phần đầu tiên của chuỗi tấn công là khởi động lại màn hình và hiển thị logo của chính chúng trên màn hình.
Mặc dù các chi tiết kỹ thuật của vụ hack đang được giữ kín, các chuyên gia tin rằng Synacktiv đã sử dụng phương pháp tấn công time-of-check to time-of-use (TOCTOU). Ví dụ: hệ thống của Tesla có thể kiểm tra xem một tệp nhất định có tồn tại hay không và trong khi hệ thống đang kiểm tra và khởi chạy tệp đó, thì tệp đó đã bị thay thế bằng một tệp khác có chứa mã độc.
Theo Zero Day Initiative, cuộc tấn công tinh vi đến mức nó đã giành được giải thưởng cấp 2 đầu tiên cho Synacktive. Điều này có nghĩa là ngoài 100.000 tiền thưởng ban đầu, nó còn mang về cho họ 250.000 USD tiền thưởng và nhiều khoản tiền thưởng nhỏ khác.
Tổng cộng tại Pwn2Own 2023, các hacker đã được thưởng 1.035.000 đô la, trong khi riêng Synacktiv đã giành được hơn một nửa, lên tới 530.000 đô la. Ngoài ra, họ còn được thưởng một chiếc ô tô Tesla Model 3 đời mới. Năm ngoái, nhóm này cũng đã kiếm được 75.000 đô la khi chứng minh cách hack vào hệ thống của Tesla mà không cần sự tương tác của nạn nhân.
Trong ngành ô tô, Tesla tích cực nhất trong việc khuyến khích tin tặc tìm ra lỗ hổng trong hệ thống của họ. Tesla chạy chương trình tiền thưởng lỗi của riêng mình với phần thưởng lên tới 15.000 đô la cho một lỗ hổng được phát hiện.
