Báo cáo: Thiết bị định vị GPS trên xe hơi của Trung Quốc có ‘các lỗ hổng nghiêm trọng’
Theo nghiên cứu mới của một công ty an ninh mạng có trụ sở tại Boston, một thiết bị theo dõi định vị GPS trên mẫu xe hơi thịnh hành được sử dụng ở 169 quốc gia do Trung Quốc sản xuất có “các lỗ hổng nghiêm trọng”, có khả năng gây nguy hiểm cho sự an toàn trên xa lộ, an ninh quốc gia, và chuỗi cung ứng.
Trong một thông cáo báo chí, BitSight cho biết họ đã phát hiện ra sáu lỗ hổng “nghiêm trọng” trong thiết bị định vị GPS MV720, một thiết bị được tích hợp cố định do công ty MiCODUS của Trung Quốc sản xuất.
Theo báo cáo của BitSight được công bố hôm 19/07, nếu bị khai thác trong một cuộc tấn công, các lỗ hổng này có thể tạo điều kiện cho “các tác nhân đe dọa” chiếm quyền kiểm soát các phương tiện được lắp đặt thiết bị này, cắt nguồn cấp nhiên liệu khi phương tiện đang chuyển động, hoặc giám sát chuyển động của phương tiện này. Các nhà nghiên cứu lưu ý rằng 1.5 triệu thiết bị định vị GPS như vậy hiện đang được sử dụng bởi các công ty và cá nhân.
Hôm thứ Ba (19/07), Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo về lỗi của thiết bị này. Cơ quan này cho biết họ chưa nhận được thông tin nào về việc có “các hoạt động khai thác công khai nhắm mục tiêu cụ thể vào các lỗ hổng này”.
Chuyên gia an ninh mạng Hoa Kỳ Richard Clarke bày tỏ lo ngại về nhà cầm quyền Trung Quốc.
Ông Clarke nói trong thông cáo báo chí: “Nếu Trung Quốc có thể điều khiển các phương tiện ở Hoa Kỳ từ xa, thì chúng ta gặp rắc rối rồi đấy.”
BitSight cho biết nỗ lực hợp tác với nhà sản xuất MiCODUS có trụ sở tại Thâm Quyến để thảo luận về các lỗ hổng của trình theo dõi GPS này — bắt đầu từ tháng Chín năm ngoái (2021), với sự tham gia của CISA hồi cuối tháng Tư — đều thất bại.
The Epoch Times đã liên lạc với MiCODUS để nhận xét về báo cáo của BitSight. Một giám đốc bán hàng đã hồi đáp trong một thư điện tử, nói rằng MV720 là “một thiết bị theo dõi GPS phổ biến cho xe” và công ty “không bao giờ sử dụng sản phẩm này để thực hiện bất kỳ hành động bất hợp pháp nào.”
‘Không khó để khai thác’
Thiết bị định vị GPS được sử dụng trên toàn thế giới để giám sát toàn bộ lượng phương tiện – từ xe tải đến xe buýt trường học đến xe quân sự — và bảo vệ những phương tiện này khỏi bị mất cắp. Ngoài việc thu thập dữ liệu về vị trí xe, thiết bị này thường theo dõi các số liệu khác như hành vi của người lái xe và mức sử dụng nhiên liệu. Thông qua truy cập từ xa, nhiều thiết bị được kết nối để ngắt nhiên liệu hoặc còi báo động của xe, khóa hoặc mở khóa cửa xe, v.v.
Nhưng các lỗ hổng trong thiết bị bị khai thác cũng có thể cho phép tin tặc giành quyền kiểm soát phương tiện. Lấy ví dụ: một kẻ xấu có thể “theo dõi những người mà họ không biết, vô hiệu hóa từ xa các đội xe cấp cứu và xe thương mại của công ty, [và] đột ngột dừng các phương tiện dân dụng trên xa lộ nguy hiểm,” theo báo cáo của BitSight.
Ông Pedro Umbelino, trưởng nhóm nghiên cứu của BitSight về dự án này cho biết, “Thật không may, những lỗ hổng này không khó để khai thác.” Ông nói có thể có nhiều tình huống có ác ý. Ví dụ: xe của nạn nhân có thể bị hỏng hoặc một tin tặc có thể ngắt động cơ và yêu cầu nạn nhân tiền chuộc bằng tiền điện tử để không phải gọi thợ sửa xe.
Các nhà nghiên cứu đã liệt kê những người sử dụng chính của thiết bị theo dõi GPS này, bao gồm một công ty năng lượng Fortune 50, quân đội của một quốc gia ở Nam Mỹ, một chính phủ ở Tây Âu, và quân đội của một quốc gia ở Đông Âu. Báo cáo không cung cấp danh tính của các tổ chức này.
Các nhà nghiên cứu của BitSight kêu gọi người dùng vô hiệu hóa ngay lập tức thiết bị theo dõi GPS MV720, hiện có mặt trên các trang bán lẻ trực tuyến lớn và có giá dưới 25 USD cho mỗi thiết bị, cho đến khi “công ty có bản sửa lỗi”.
Ông Clarke gọi thiết bị GPS này là một ví dụ khác về một sản phẩm thông minh do Trung Quốc sản xuất là “đang gọi về nhà (thông tin truyền về Trung Quốc) và có thể bị chính phủ Trung Quốc sử dụng với mục đích xấu”.
Mặc dù ông Clarke cho biết ông nghi ngờ thiết bị theo dõi được thiết kế cho mục đích đó, nhưng mối nguy hiểm là có thật vì các công ty Trung Quốc có nghĩa vụ tuân theo mệnh lệnh của Đảng Cộng sản Trung Quốc — đó là lý do tại sao Hoa Thịnh Đốn đang tìm cách giảm thiểu các bộ phận của Trung Quốc trong mạng lưới viễn thông của Mỹ, và tại sao một số nhà lập pháp Hoa Kỳ đang thúc đẩy lệnh cấm về việc chính phủ Hoa Kỳ mua phi cơ không người lái của Trung Quốc.
“Quý vị chỉ tự hỏi là, tần suất chúng ta phát hiện những thứ cơ sở hạ tầng — mà có khả năng bị Trung Quốc lợi dụng trong khi người dùng không biết — là bao nhiêu?” Ông Clarke nói với The Associated Press.
Cô Dorothy Li là một phóng viên của The Epoch Times tại Âu Châu.
