Bảo mật yếu: Kẻ tấn công có thể vô hiệu hóa toàn bộ trạm sạc xe điện công cộng

Tại hội nghị Black Hat Asia vừa diễn ra, Hetian Shi – một nhà nghiên cứu bảo mật phần cứng và IoT tại Đại học Thanh Hoa (Trung Quốc) – đã đưa ra một cảnh báo đáng lo ngại về tình trạng bảo mật của các thiết bị IoT cho thuê công cộng.

Theo đó, các nhà phát triển cơ sở hạ tầng Internet vạn vật (IoT) cho thuê, chẳng hạn như trạm sạc xe điện (EV) hay xe đạp điện chia sẻ, đang quá chú trọng vào sự tiện lợi cho người dùng mà lơ là các biện pháp bảo mật cần thiết. Điều này vô tình tạo ra lỗ hổng cho các cuộc tấn công từ chối dịch vụ (Denial of Service) có thể vô hiệu hóa toàn bộ mạng lưới dịch vụ trên diện rộng.

Bản chất của lỗ hổng trong thiết bị IoT cho thuê

Shi chỉ ra rằng đặc thù của các dịch vụ IoT cho thuê là bất kỳ ai cũng có thể tiếp cận vật lý các thiết bị này để kiểm tra và tìm kiếm lỗ hổng. Trong quá trình nghiên cứu của mình, Shi đã phát hiện thấy nhiều thiết bị cho thuê vẫn để lộ các cổng gỡ lỗi (debugging port) hoặc kết nối UART. Đây là những đặc điểm kỹ thuật giúp nhà sản xuất kiểm tra thiết bị, nhưng nếu bị lộ ra ngoài, chúng trở thành công cụ đắc lực để kẻ tấn công phân tích sâu về hoạt động bên trong của thiết bị.

Thông qua việc tiếp cận vật lý, nhà nghiên cứu đã tìm thấy bằng chứng về việc sử dụng chung các khóa xác thực (authentication keys) trong phần mềm nhúng (firmware) của nhiều thiết bị. Hơn nữa, các dịch vụ backend (hệ thống máy chủ phía sau) không thực hiện xác thực người dùng một cách nghiêm ngặt, tạo điều kiện cho kẻ xấu lợi dụng.

Nguy cơ từ ứng dụng di động và công cụ IDScope

Không chỉ dừng lại ở phần cứng, Shi cũng điều tra các ứng dụng di động mà các nhà cung cấp dịch vụ phát hành để khách hàng thuê thiết bị. Kết quả cho thấy bảo mật của các ứng dụng này cũng rất lỏng lẻo. Shi đã chứng minh được khả năng tạo ra các "khách hàng ảo" (phantom clients) mà hệ thống không thể phân biệt được với người dùng thật. Điều này cho phép kẻ tấn công sạc xe điện hoặc thuê xe đạp miễn phí.

Để minh họa cho các lỗ hổng này, Shi đã phát triển một công cụ tên là "IDScope". Tại buổi thuyết trình, ông đã sử dụng ứng dụng iOS của một nhà cung cấp trạm sạc xe điện tại Trung Quốc để thực hiện demo trực tiếp.

Shi mời khán giả chọn một thành phố, và Thượng Hải đã được chọn. Ông tìm kiếm các trạm sạc tại Quảng trường Nhân dân – một khu vực mua sắm và giải trí lớn. Sau khi hiển thị danh sách các trạm sạc đang khả dụng, khán giả đã chọn một trạm cụ thể. Shi chỉ cần nhập ID số của trạm sạc đó vào một đoạn script.

Chỉ sau vài giây, biểu tượng của trạm sạc trên ứng dụng đã chuyển từ màu xanh (đang sẵn sàng) sang màu xám (đã bị vô hiệu hóa). Màn hình demo này đã nhận được sự vỗ tay nhiệt liệt từ khán giả, chứng minh tính thực tế và nguy hiểm của lỗ hổng.

Tác động quy mô lớn và tính phổ biến

Thiêt nghĩ rằng kỹ thuật ông phát triển không chỉ giúp tắt chức năng của một thiết bị riêng lẻ mà còn có thể mở rộng quy mô, tạo ra khả năng tấn công từ chối dịch vụ đồng loạt và tê liệt toàn bộ mạng lưới trạm sạc của một thành phố.

Vấn đề này không chỉ giới hạn ở Trung Quốc. Shi cho biết ông đã thử nghiệm trên 11 ứng dụng của các nhà cung cấp xe đạp và xe máy điện chia sẻ tại Châu Âu và phát hiện các vấn đề bảo mật tương tự. Điều này cho thấy các lỗ hổng này có thể áp dụng ở nhiều nơi trên thế giới.

Nguyên nhân sâu xa của vấn đề, theo Shi, nằm ở tâm lý của các nhà phát triển. Họ thường cố gắng xây dựng dịch vụ sao cho thuận tiện nhất cho người dùng, đôi khi đánh đổi và hy sinh các lớp bảo mật quan trọng. Đây là một bài học lớn cho ngành công nghiệp IoT khi ngày càng nhiều thiết bị kết nối được đưa vào sử dụng trong đời sống hàng ngày.