Nhóm hacker mũ trắng Snyactiv nhận tổng cộng 350.000 USD cùng một chiếc xe Tesla sau khi phát hiện lỗ hổng phần mềm liên quan đến xe này.
Tại sự kiện hacker thường niên Pwn2Own diễn ra tuần trước ở Canada, Snyactiv phát hiện tổng cộng hai lỗi liên quan đến phần mềm Tesla. Lỗi đầu tiên là Tesla’s Gateway – giao diện quản lý năng lượng giao tiếp giữa xe Tesla và phần mềm kiểm soát hệ thống lưới điện gia đình Tesla Powerwalls. Nhóm không trực tiếp tấn công một chiếc xe thực tế, nhưng dựa trên mô phỏng, lỗ hổng cho phép các hacker có thể kiểm soát và mở cửa trước của xe bằng thao tác đơn giản.
Nhóm hacker Synacktiv. Ảnh: Zero Day Initiative
Snyactiv sau đó tiếp tục trình diễn việc đột nhập và “tiếp quản toàn bộ xe” Tesla thông qua việc khai thác hệ thống thông tin giải trí. Để làm điều này, nhóm tìm cách kết nối với xe qua Bluetooth bằng cách làm tràn bộ nhớ đệm và tạo dòng lệnh ghi đè lên hệ thống mạng OOB (out-of-band). Kết hợp việc khai thác bảo mật TOC/TOU, nhóm đã đột nhập và điều khiển xe thành công.
TOC/TOU là một trong những lỗi khá phổ biến và dễ bị khai thác trên các phần mềm điều khiển. Theo Gizmodo, hacker tìm cách tấn công hệ thống bằng cách truy cập tài nguyên dùng chung từ nhiều điểm khác nhau cùng một lúc. Điều này khiến phần mềm bị quá tải và hoạt động sai so với thông thường.
Tesla sau đó xác nhận sự tồn tại của những lỗ hổng này. Đội ngũ an ninh công ty cho biết một trong hai lỗi đã được vá, lỗi còn lại sẽ được khắc phục qua bản cập nhật OTA sắp tới.
Trong cuộc tấn công đầu tiên, Snyactiv nhận được 100.000 USD cùng một chiếc Tesla Model 3. Ở cuộc tấn công thứ hai, họ nhận thêm 250.000 USD. Bên cạnh đó, nhóm phát hiện một số lỗ hổng trong hệ điều hành Windows 11 và kiếm về 530.000 USD trong số tổng số 1,035 triệu USD tiền thưởng từ cuộc thi.
Bộ thiết bị xâm nhập xe Tesla của Synacktiv. Ảnh: Zero Day Initiative
Đây không phải lần đầu phần mềm xe Tesla bị phát hiện có nhiều lỗ hổng bảo mật. Năm ngoái, một nhóm hacker mũ trắng cũng tìm ra lỗi khiến xe điện của Elon Musk bị đánh cắp dễ dàng. Cũng năm, hacker trẻ David Colombo tuyên bố đột nhập thành công 25 chiếc Tesla ở 13 quốc gia, sau đó khởi động xe và điều khiển một số tính năng như cửa kính, phát nhạc, định vị từ xa mà chủ nhân không hay biết. Tesla sau đó cũng thừa xác nhận vấn đề.
Pwn2Own được tổ chức bởi Zero Day Initiative kể từ 2007. Cuộc thi được đánh giá là uy tín trong giới bảo mật ở quy mô toàn cầu. Hàng năm, hacker đã kiếm được hàng trăm nghìn USD thông qua việc phát hiện lỗ hổng, trong khi các công ty cũng nắm bắt sớm vấn đề trên hệ thống của mình. Khoản tiền thưởng cũng chủ yếu được tài trợ bởi những doanh nghiệp này.
Kỹ sư Việt kiếm trăm nghìn USD từ lỗ hổng Microsoft, Oracle Nhóm năm kỹ sư trẻ Việt Nam, sinh từ năm 1999 đến 2003, giành 115.000 USD vì khai thác thành công lỗ hổng của Microsoft Teams và Oracle VirtualBox. Theo bảng xếp hạng cuộc thi Pwn2Own…
Tình trạng Gen Z ngày làm một giờ, lương trăm nghìn… Devon, kỹ sư phần mềm hơn 20 tuổi, được Google trả 150.000 USD một năm nhưng mỗi ngày chỉ làm khoảng một giờ. Để bảo mật danh tính nhân vật, Fortune đặt biệt danh cho kỹ…
Mất trăm nghìn USD vì đoán sai thiết kế iPhone 15 Pro Peak Design cho rằng iPhone 15 Pro vẫn giữ nút gạt chế độ im lặng như cũ, thay vì phím Action, nên đã sản xuất 30.000 ốp dạng này. Trong video đăng trên YouTube ngày 28/9,…
Hacker đánh cắp 47 triệu USD của Kyber đòi quyền… Người đứng sau vụ hack nền tảng blockchain Việt Kyberswap yêu cầu có toàn bộ quyền kiểm soát công ty, đổi lại sẽ hoàn 50% số tiền đã lấy. Một tuần sau khi tấn công vào…
Hàng nghìn tài khoản ChatGPT tại Việt Nam bị hack Dữ liệu của khoảng 101.000 tài khoản ChatGPT, trong đó có Việt Nam, được tìm thấy trên các thị trường Dark Web bất hợp pháp. Phát hiện mới được công bố trên blog công ty an…
Người mẫu AI kiếm chục nghìn USD mỗi tháng Aitana Lopez, 25 tuổi, tóc hồng đến từ Barcelona, thường xuyên nhận được tin nhắn mời đi chơi, nhưng cô không có thật. "Chúng tôi đã trải qua giai đoạn khó khăn vì không có nhiều…
Hacker tẩu tán tiền từ vụ trộm 500 triệu USD của FTX Trong vòng 48 giờ qua, khoảng 22.500 ETH (38 triệu USD) trong số 50.000 ETH bị đánh cắp khi FTX phá sản, bắt đầu được tẩu tán. Giữa tháng 11/2022, sau khi sàn tiền số FTX…
Hacker đánh cắp 47 triệu USD của Kyber như thế nào KyberSwap dùng hợp đồng thông minh phức tạp nhưng vẫn bị tấn công bằng cách tạo ra lượng lớn thanh khoản ảo. Ngày 26/11, Kyber cho biết sẽ phối hợp với cơ quan an ninh mạng…
Khi bạn đăng nhập lần đầu tiên bằng nút Đăng nhập Xã hội, chúng tôi thu thập thông tin hồ sơ công khai tài khoản của bạn được chia sẻ bởi nhà cung cấp Đăng nhập Xã hội, dựa trên cài đặt quyền riêng tư của bạn. Chúng tôi cũng nhận được địa chỉ email của bạn để tự động tạo tài khoản cho bạn trong trang web của chúng tôi. Khi tài khoản của bạn được tạo, bạn sẽ đăng nhập vào tài khoản này.
Không đồng ýĐồng ý
Kết nối với
Tôi cho phép tạo tài khoản
Khi bạn đăng nhập lần đầu tiên bằng nút Đăng nhập Xã hội, chúng tôi thu thập thông tin hồ sơ công khai tài khoản của bạn được chia sẻ bởi nhà cung cấp Đăng nhập Xã hội, dựa trên cài đặt quyền riêng tư của bạn. Chúng tôi cũng nhận được địa chỉ email của bạn để tự động tạo tài khoản cho bạn trong trang web của chúng tôi. Khi tài khoản của bạn được tạo, bạn sẽ đăng nhập vào tài khoản này.
