NCC Group cho biết, các hacker có thể tấn công để chiếm quyền điều khiển hệ thống phanh và nhiều bộ phận quan trọng khác của xe. Công ty này nói rằng họ tìm ra một cách tấn công bằng cách gửi dữ liệu thông qua sóng âm thanh vô tuyến kỹ thuật số (DAB).
Lỗ hổng này cũng đã được phát hiện bởi Chris Valasek và Charlie Miller, hai nhà nghiên cứu bảo mật của Mỹ. Cả hai đã nói với tạp chí Wired rằng họ có thể kiểm soát một chiếc xe Jeep Cherokee bằng cách gửi các gói dữ liệu tới hệ thống giải trí và định vị của xe thông qua sóng điện thoại.
Chrysler sau đó đã phát hành một bản vá để giải quyết vấn đề.
Tuy nhiên, những phát hiện của NCC lại có liên quan đến nhiều vấn đề hơn. Họ đã chứng minh bằng cách sử dụng một máy tính xách tay kết nối với một chiếc hộp tự chế để tạo nên một trạm DAB và sử dụng nó để tấn công vào những chiếc xe hơi.
Bởi vì các dữ liệu của hệ thống thông tin giải trí (DAB) được xử lý để hiển thị dưới dạng văn bản và hình ảnh trên màn hình điều khiển của xe, nên những kẻ tấn công có thể gửi các mã tấn công lên hệ thống.
Khi một hệ thống thông tin giải trí đã bị xâm nhập, kẻ tấn công có thể sử dụng nó như là một cách để kiểm soát các hệ thống quan trọng hơn của xe, bao gồm cả hệ thống lái và phanh.
Andy Davis, Giám đốc nghiên cứu của NCC cho biết, tùy thuộc vào công suất mà một máy phát sóng DAB có thể cho phép tin tặc tấn công nhiều xe cùng một lúc, bằng cách gửi các dữ liệu đến các hệ thống thông tin giải trí của những chiếc xe này.
David chia sẻ thêm: "Một kẻ tấn công có thể lựa chọn một đài phát thanh phổ biến để có thể tấn công được vào nhiều mục tiêu hơn". Tuy nhiên, Davis từ chối tiết lộ tên các hệ thống thông tin mà ông và các cộng sự đã sử dụng để tấn công.
Các loại xe hiện đại thường được trang bị một máy tính có khả năng kết nối với với nhiều máy tính khác. Mike Parris của SBD, một công ty chuyên về an ninh xe cho biết một chiếc xe hiện đại thường có 50 kết nối đến các máy tính và chạy khoảng 50 triệu dòng mã. Ngược lại, ông cho biết một chiếc máy bay chở khách hiện đại thường chỉ có "14 triệu dòng mã".
Việc bổ sung các trình điều khiển xe tự động tạo cơ hội mới cho các hacker. Davis cho biết ông đã mô phỏng một cuộc tấn công DAB trong một phòng thí nghiệm vì hiện tại hành vi này là bất hợp pháp nếu được tiến hành bên ngoài thực tế.
Ông cho biết, trước đây ông đã làm hư hại hệ thống tự phanh của một chiếc xe thực sự với cách tấn công này bằng cách thay đổi các dữ liệu trên hệ thống thông tin giải trí của xe và ông tin rằng, điều này có thể được nhân rộng thông qua một chương trình phát sóng DAB.
Tạp chí Wired thì cho biết, hai nhà nghiên cứu an ninh của Mỹ đã chiếm được quyền điều khiển hệ thống điều hòa, radio, kính chắn gió của một chiếc Jeep Cherokee trong khi một người khác đang lái chiếc xe này.
Valasek - giám đốc nghiên cứu an ninh xe tại IOActive nói rằng, các cuộc tấn công thử nghiệm của NCC có nhiều điểm tương đồng với nghiên cứu của mình. Tuy nhiên, ông cũng cho biết cách thức tấn công này vượt ra ngoài tầm với của đại đa số tội phạm vì cần khá nhiều thời gian, tiền bạc và cả kiến thức chuyên sâu để thực hiện.
Kết quả từ NCC và của hai nhà nghiên cứu của Mỹ sẽ được trình lên hội nghị bảo mật Black Hat ở Las Vegas vào tháng tới.