Màn hình điều khiển trung tâm của xe Tesla bị tấn công từ chối dịch vụ

[WhiteHat News #ID:2017]

Màn hình cảm ứng trung tâm của xe điện Tesla Model 3 không thể sử dụng sau khi hacker lừa người dùng truy cập vào một trang web độc hại. Hãng sản xuất xe điện đã phát hành bản bản cập nhật phần mềm để vá lỗ hổng.

Một nhà nghiên cứu có biệt danh Nullze đã phát hiện giao diện web của xe Tesla Model 3 tồn tại lỗ hổng từ chối dịch vụ (DoS).

Theo nhà nghiên cứu này, lỗ hổng (CVE-2020-10558) cho phép kẻ tấn công vô hiệu hóa các tính năng hiển thị tốc độ lái, trình duyệt web, xem thông tin thời tiết, tín hiệu cảnh báo rẽ xe, điều hướng, thông báo kích hoạt chế độ tự lái autolipot và bật đèn cảnh báo cùng nhiều chức năng khác trên màn hình chính.

Để khai thác lỗ hổng, người dùng phải truy cập một trang web đặc biệt do kẻ tấn công tạo ra. Trang web này sẽ “đóng băng” toàn bộ giao diện xe Tesla Model 3.

Nhà nghiên cứu cũng cho biết chiếc xe vẫn hoạt động khi hacker đang khai thác lỗ hổng. Màn hình chỉ bắt đầu xảy ra lỗi hiển thị sau khi xe tắt máy và được khởi động lại.

Lỗ hổng đã được thông báo tới hãng Tesla thông qua chương trình bug bounty trên nền tảng Bugcrowd của hãng.

Lỗ hổng đã được vá thông qua việc phát hành phiên bản 2020.4.10 vào giữa tháng. Bản vá được cập nhật tự động tới người dùng và người dùng có thể cài đặt ngay lập tức hoặc lên lịch cài đặt sau nếu chưa lái xe ngay.

Chủ sở hữu xe Tesla chưa cài đặt bản cập nhật có thể kiểm tra lỗ hổng bằng mã khai thác proof-of-concept (PoC) do Nullze cung cấp. Chuyên gia này cũng đã công bố một số video mô tả quá trình tấn công.

Theo Securityweek​