Bỏ trăm triệu mua Honda Civic, té ngửa phát hiện xe chạy 'Android rách' dễ bị hack bởi ông thần giữ xe

Đưa chìa khóa xe cho nhân viên valet (giữ xe) ở nhà hàng sang chảnh và nghĩ thế là ngầu? Coi chừng con Honda Civic của các ông vừa bay màu sạch dữ liệu cá nhân, thậm chí bị biến thành máy nghe lén di động chỉ bằng một cái cắm USB dạo nha anh em.

Chuyện quái gì đang xảy ra với chiếc 'xe quốc dân' thế này?

Nguồn cơn câu chuyện bắt đầu khi một pháp sư công nghệ quyết định mang con Honda Civic thế hệ thứ 10 (đời từ 2016 đến 2021) ra làm chuột bạch để reverse engineer cái màn hình giải trí (infotainment). Cứ ngỡ hệ thống điều khiển xe hơi triệu đô phải bảo mật xịn xò con bò lắm, ai dè bóc lớp vỏ ra mới thấy bên trong là một cái máy tính bảng Android chạy phiên bản siêu cổ lỗ sĩ (Android 4.2.2 hoặc 4.4 tùy đời).

Tệ hơn nữa, tác giả phát hiện ra cổng USB ở hốc điều khiển trung tâm mặc định bật tính năng ADB (Android Debug Bridge) mà không hề có bất kỳ cơ chế xác thực hay password nào bảo vệ.

Từ lỗ hổng 'trời ban' này, kịch bản về một vụ 'Evil Valet' (tạm dịch: Ông thần giữ xe hắc ám) ra đời cực kỳ mượt mà:

• Bước 1: Bạn giao xe cho nhân viên valet đi đỗ hộ.
• Bước 2: Gã này rút một chiếc USB nhỏ gọn đã nạp sẵn script tự động, cắm vào cổng USB của xe.
• Bước 3: Script chạy qua ADB, tự động root thiết bị, cài cắm backdoor, thậm chí là các phần mềm theo dõi định vị GPS.
• Bước 4: Rút USB, trả xe như chưa hề có cuộc chia ly. Toàn bộ quá trình diễn ra chưa đầy 1 phút.

Khi bạn kết nối điện thoại với xe qua Bluetooth để nghe nhạc hay nhận cuộc gọi, toàn bộ danh bạ, lịch sử cuộc gọi và tin nhắn sẽ tự động đồng bộ sang bộ nhớ của xe. Và thế là xong, gã hacker giữ xe đã có thể ung dung ngồi nhà hít hà toàn bộ thông tin nhạy cảm của bạn, thậm chí bật micro của xe lên để nghe lén xem hôm nay bạn đi đu đưa với ai.

Giang cư mận dậy sóng: Feature hay là Bug?

Sau khi bài phân tích được đăng tải, cộng đồng dev và giới mộ điệu bốn bánh đã chia phe combat cực kỳ nhiệt tình:

• Phe lo sợ tột độ: 'Trời đất ơi, bỏ nửa tỷ bạc mua cái xe mà bảo mật còn thua con điện thoại Tàu giá 2 triệu. Honda làm ăn kiểu gì thế này?'. Nhiều người giật mình nhận ra bấy lâu nay họ quá ngây thơ khi tin tưởng vào độ an toàn của smart car.
• Phe modder/vọc sĩ (quay xe cười trừ): 'Ủa tưởng gì, đây là tính năng chứ bug nỗi gì! ADB mở thế này cứu rỗi đời tôi. Nhờ nó mà tôi cài được Netflix, Youtube lậu để vừa lái xe vừa cày phim đấy chứ, xịn thế còn gì nữa!'.
• Phe thực tế: 'Nói thật, chả thằng hack bẩn nào rảnh rỗi đi mang USB đi cắm dạo vào xe của một ông dev quèn đâu. Nhưng nguy cơ bị cài cắm mã độc từ mấy gara sửa xe không uy tín hay khi đi mua xe cũ là hoàn toàn có thật'.

Nhiều chuyên gia bảo mật cũng vào khịa nhẹ rằng các hãng xe hơi truyền thống thường cực kỳ lười cập nhật phần mềm. Một khi xe đã lăn bánh khỏi đại lý, hệ thống infotainment coi như bị mang con bỏ chợ, sống chết mặc bay, patch bảo mật là thứ xa xỉ.

Góc nhìn từ Coding4Food: Khi cái xe chỉ là con điện thoại cắm thêm 4 cái bánh

Tóm cái váy lại, vụ này là một gáo nước lạnh dội thẳng vào mặt những ai đang thần thánh hóa công nghệ trên xe hơi. Bản chất phần lớn màn hình giải trí trên ô tô hiện nay (đặc biệt là các dòng xe phổ thông đời cũ) chỉ là những con máy tính bảng Android giá rẻ được tùy biến lại giao diện.

Đối với dân dev chúng ta, bài học xương máu rút ra là: Vật lý luôn thắng bảo mật phần mềm. Một khi kẻ xấu đã có quyền tiếp cận vật lý (physical access) vào thiết bị của bạn, thì mọi lớp phòng thủ phần mềm đều vô nghĩa. Đừng bao giờ giao chìa khóa xe, laptop hay điện thoại cho người lạ mà không có sự giám sát.

Còn nếu anh em nào ngứa nghề, muốn tự dựng lab để test các lỗ hổng bảo mật, hack thử hệ thống hay chạy thử script nghịch ngợm thì làm ơn đừng mang con xe cưng của mình hay của bố mẹ ra làm chuột bạch kẻo toang lại ăn lươn ăn gậy. Cứ thuê một con vps chất lượng cao về mà tha hồ quậy phá, vừa an toàn vừa không sợ sập server nhà người ta!

Chúc anh em lái xe an toàn và nhớ rút hết dây USB lạ ra trước khi khởi động máy nhé!

Nguồn tham khảo: juniperspring.org