Liệu hacker có thể 'tấn công' xe điện?
Một số chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo, mô tả các tình huống đáng lo ngại về các cuộc tấn công có thể xảy ra đối với xe điện, bao gồm việc khiến các phương tiện lao khỏi đường hoặc bốc cháy, theo Wall Street Journal.
Xe điện được trang bị chip và phần mềm kiểm soát mọi thứ, từ pin và động cơ cho đến kiểm soát hành trình và phanh. Chúng cũng được cắm vào bộ sạc gần như hàng ngày, gửi thông tin qua lại qua trạm sạc hoặc internet. Các loại xe điện có khả năng kết nối không dây với những nhà sản xuất, đại lý xe điện cũng như các ứng dụng trên điện thoại.
Các chuyên gia an ninh mạng cho biết, sự kết hợp giữa sức mạnh điện toán khổng lồ và vô số kết nối trực tuyến sẽ mang đến cơ hội hấp dẫn cho những kẻ xấu trên môi trường internet, hay hacker, vì hàng triệu xe điện dự kiến sẽ ra mắt trong vài năm tới.
“Đó là một hệ sinh thái rất phức tạp gồm những công ty khác nhau và các bộ công nghệ khác nhau. Điều này vô tình mở ra các cánh cửa mới cho tin tặc” Benjamin Klein, một đối tác tại McKinsey & Co đồng thời cũng là chuyên gia an ninh mạng, cho biết.
Tin tặc có thể phát tán phần mềm độc hại tới hàng nghìn hoặc hàng triệu xe điện. Các cuộc tấn công có thể làm tê liệt ô tô cho đến khi chủ sở hữu của chúng trả một khoản phí, giống như cách mà nhiều hacker làm trên PC, laptop và smartphone. Tệ hơn, tin tặc có thể làm hỏng hệ thống sạc của xe điện và làm quá tải pin, có khả năng gây cháy hoặc chiếm đoạt khả năng tăng tốc và phanh của xe, dẫn đến tai nạn.
Stuart Madnick, giáo sư và chuyên gia an ninh mạng tại Trường Quản lý Sloan của Viện Công nghệ Massachusetts, cho biết: “Hãy tưởng tượng những chiếc ô tô bắt đầu chạy một cách bất thường. Rất khó để kiểm soát các vấn đề”.
Các chuyên gia cho biết những khả năng bao gồm việc tin tặc chiếm quyền kiểm soát các trạm sạc và sử dụng chúng để đánh cắp thông tin của khách hàng hoặc thậm chí đánh sập các bộ phận của lưới điện, cũng là những rủi ro khác.
Cho đến nay, số lượng vụ tin tặc tấn công xe điện được báo cáo là tương đối nhỏ. Tháng 2 năm ngoái, sau khi Nga mở “chiến dịch đặc biệt” nhắm vào Ukraine, các trạm sạc điện dọc theo một đường cao tốc lớn ở Nga đã ngừng hoạt động và các màn hình bắt đầu hiển thị các khẩu hiệu ủng hộ Ukraine. Tới tháng 4, các bộ sạc công cộng trên Isle of Wight của Anh đã bị hack để hiển thị nội dung không lành mạnh trên màn hình của họ.
Dưới đây là cái nhìn sâu hơn về một số rủi ro an ninh mạng do xe điện và bộ sạc xe điện có thể gây ra, cũng như những việc có thể thực hiện để giảm thiểu các lỗ hổng bảo mật.
Rủi ro trên xe điện
Những kẻ xấu có nhiều cách khác nhau để đưa các phần mềm độc hại vào xe điện. Trong xe điện, hầu hết tính năng cơ khí của xe đốt trong—pít-tông, van, trục khuỷu, bộ chế hòa khí, bơm xăng và nước—đã được thay thế bằng thiết bị điện tử. Chip và phần mềm kiểm soát cách sạc pin, cách chúng truyền điện đến động cơ, cách động cơ tăng tốc và cách chúng trả lại điện cho pin trong quá trình phanh, cùng các hoạt động khác.
Syed Ali, một đối tác và chuyên gia an ninh mạng tại công ty tư vấn Bain & Co, cho biết: “Mặc dù một chiếc ô tô hạng sang sử dụng động cơ đốt trong có thể có khoảng 150 bộ điều khiển điện tử, nhưng “đó chẳng là gì so với trung bình 3.000 con chip mà chúng ta đang thấy trong một chiếc xe điện”. Tuy nhiên, bất chấp sự phụ thuộc nặng nề vào công nghệ máy tính, “xe điện đang ở giai đoạn rất non nớt và sơ khai” trong các biện pháp bảo vệ an ninh mạng xe điện, ông Ali nói thêm.
Mối quan tâm đặc biệt là các bản cập nhật phần mềm định kỳ mà các nhà sản xuất xe điện đưa ra với khách hàng. Nếu tin tặc có thể chèn phần mềm độc hại vào các bản cập nhật này, nó có khả năng làm hỏng hàng trăm nghìn ô tô.
Một cuộc biểu tình năm 2015 liên quan đến một chiếc xe Jeep Cherokee đã cung cấp một ví dụ thực tế về cách tin tặc có thể khai thác các lỗi bảo mật trong một chiếc ô tô có kết nối internet.
Các nhà nghiên cứu đã đột nhập từ xa vào thiết bị điện tử của chiếc xe thông qua kết nối di động và kiểm soát hệ thống lái, chân ga và phanh bằng cách gửi lệnh từ một máy tính xách tay cách xa hàng km. Người lái xe khi đó đã không thể giữ chiếc SUV tránh khỏi rãnh nước. Nhà sản xuất ô tô sau đó đã thu hồi 1,4 triệu xe để cài đặt một bản vá phần mềm nhằm khắc phục lỗ hổng.
Chiếc xe Jeep đó là một chiếc xe sử dụng động cơ đốt trong tiêu chuẩn. Ông Ali chỉ ra rằng xe điện cung cấp nhiều mục tiêu hơn cho một cuộc tấn công mạng. Trong khi đó, Jim Guinn, lãnh đạo ngành mạng toàn cầu tại công ty tư vấn Accenture cho biết không chỉ chip, ngay cả liên kết truyền thông và kết nối bộ sạc liên tục cũng khiến xe điện dễ bị “hack”.
Ông nói: “Việc áp dụng nhanh chóng của xe điện, đẩy nhanh chu kỳ thử nghiệm sản phẩm, đã tạo ra các lỗ hổng bảo mật chưa được kiểm tra hoặc chưa được biêt tới”.
Alliance for Automotive Innovation, nhóm thương mại chính của ngành công nghiệp ô tô Mỹ, đã từ chối thảo luận về các mối đe dọa tiềm ẩn cụ thể của xe điện, nhưng cho biết trong một tuyên bố rằng “an ninh mạng là ưu tiên hàng đầu của các nhà sản xuất ô tô”.
Nhà sản xuất xe điện lớn nhất thế giới, Tesla Inc., đã không đưa ra bình luận về vấn đề này, nhưng trên trang web của mình, phía công ty nói rằng họ đánh giá cao đầu vào từ các nhà nghiên cứu an ninh mạng về các lỗ hổng có thể xảy ra trong các phương tiện của Tesla.
Bộ sạc tại nhà
Các chuyên gia dự đoán phần lớn quá trình sạc xe điện sẽ diễn ra tại nhà của chủ sở hữu ô tô, và bộ sạc gia đình cũng có thể đi kèm với nhiều rủi ro bảo mật khác nhau.
Khi một chiếc xe được gắn vào bộ sạc 240-volt cấp hai, giúp nạp lại pin nhanh hơn so với những bộ sạc cắm vào ổ cắm tiêu chuẩn 120-volt trong gia đình và thường đi kèm với xe, thông tin về pin, mức sạc và các dữ liệu khác của xe sẽ được hiển thị. Các chuyên gia cho biết việc cắm các dây kết nối vào bộ sạc có thể là một “cánh cửa” để tin tặc truyền thông tin độc hại.
Hơn nữa, nhiều bộ sạc gia đình được liên kết với mạng Wi-Fi trong nhà và ứng dụng điện thoại thông minh hoặc với mạng di động, cung cấp nhiều “cơ hội” tiềm năng khác cho các hacker.
Vào năm 2021, công ty bảo mật Pen Test Partners đã kiểm tra 6 nhãn hiệu bộ sạc “thông minh” được sử dụng ở Mỹ và Vương quốc Anh, cho phép chủ sở hữu xe điện giám sát và quản lý việc sạc từ xa. Đơn vị này đã tìm thấy một số lỗ hổng, có thể cho phép tin tặc chiếm quyền điều khiển thiết bị hoặc tải phần mềm độc hại tiềm ẩn vào chúng.
Genevieve Cullen, chủ tịch Electric Drive Transportation Association, một nhóm thương mại, cho biết xe điện và các nhà sản xuất bộ sạc, tiện ích và các ngành công nghiệp liên kết đang “làm việc cùng nhau và với các cơ quan quản lý, để đảm bảo một hệ thống vận tải điện an toàn và đáng tin cậy, từ nhà máy điện đến phương tiện đi lại và cả các bộ sạc công cộng cũng như tại gia”.
Trạm sạc công cộng
Hơn 160.000 trạm sạc công cộng được lắp đặt tại các trung tâm mua sắm ở Mỹ, trạm dừng nghỉ trên đường cao tốc, khu thương mại và những nơi khác. Đạo luật cơ sở hạ tầng liên bang năm 2021 đã cung cấp kinh phí để giúp xây dựng thêm 500.000 trạm sạc khác.
Các chuyên gia cho biết việc thiếu an ninh tương đối trong cơ sở hạ tầng trạm sạc khiến các cuộc tấn công vào chúng có thể xảy ra. Ông Guinn cho biết: “Một số trạm sạc xe điện rất không an toàn vì chúng không được thiết kế có tính đến bảo mật”.
Các nhà nghiên cứu tại Đại học Concordia ở Montreal, Sandia Labs và các nơi khác cho biết phần mềm độc hại có thể được đưa vào các thiết bị này theo nhiều cách khác nhau.
Tin tặc có thể can thiệp trực tiếp vào trạm sạc. Ví dụ: Tin tắc có thể tấn công bằng cách cắm máy tính xách tay hoặc các thiết bị khác có chứa phần mềm độc hại vào cổng USB hoặc các cổng truy cập khác tại các trạm sạc trên đường phố.
Ngoài ra, các tin tặc có thể kết nối với bộ sạc từ xa qua liên kết internet và cài đặt phần mềm độc hại. Hoặc, những hacker này có thể “tiêm” phần mềm độc hại vào xe điện để chuyển sang bộ sạc khi chủ sở hữu phương tiện cắm sạc.
Các nhà nghiên cứu cho biết, sau khi phần mềm được cài đặt trên một trạm sạc, nó có thể tự phát tán trên toàn bộ mạng lưới trạm sạc. Sau đó, tin tặc có thể yêu cầu thanh toán tiền chuộc, hoặc thậm chí tấn công cả mạng lưới trạm sạc điện.
Tin tặc cũng có thể khởi động một cuộc tấn công theo hướng khác, chẳng hạn như sử dụng máy tính của mạng lưới trạm sạc để tự lây nhiễm cho các phương tiện. Ông Ali cho biết: “Bất kỳ chiếc ô tô nào đang cắm điện đều cho phép phần mềm của nó tiếp xúc với phần mềm đã bị sửa đổi hoặc giả mạo trong trạm sạc xe điện”.
Với những cuộc tấn công như vậy, tin tặc có thể đánh cắp thông tin của chủ sở hữu xe điện và sử dụng thông tin đó để được sạc miễn phí hoặc cố gắng làm hỏng hệ thống điện của ô tô.
Một số tiêu chuẩn bảo mật do các nhóm ngành tạo ra đã được áp dụng, chẳng hạn như các tiêu chuẩn có trong phần mềm kiểm soát liên lạc giữa các trạm sạc và máy tính trung tâm quản lý chúng. Tuy nhiên, các nhà nghiên cứu an ninh mạng cho biết, không phải tất cả các mạng tính phí đều tuân thủ các tiêu chuẩn đó.
Hiệp hội sạc xe điện, một nhóm thương mại cho ngành công nghiệp trạm sạc công cộng, cho biết ngành này hiểu tầm quan trọng của an ninh mạng và rất coi trọng vấn đề này. Nhóm này cho biết trong một tuyên bố: “Sự an toàn của mạng lưới trạm sạc xe điện của chúng ta có tầm quan trọng đặc biệt khi chúng ta chuyển sang sử dụng xe điện. Điều bắt buộc hiện nay là chúng ta phải đặt an ninh mạng lên hàng đầu trong quá trình phát triển những đổi mới này”.
Cần làm gì để ngăn chặn các vụ tấn công an ninh mạng trên xe điện?
Các chuyên gia cho biết ngành công nghiệp xe điện và sạc xe điện cần phải kết hợp với nhau để cùng tạo ra các giao thức bảo mật mạnh hơn và rộng hơn, chẳng hạn như các giao thức liên quan đến tường lửa mạng máy tính và xác thực người dùng, đồng thời phải tuân theo các giao thức đó.
Alliance for Automotive Innovation cho biết họ hỗ trợ “một phương pháp tiếp cận công khai/tư nhân, nhiều bên liên quan, vạch ra các vai trò và trách nhiệm an ninh mạng rõ ràng, bao gồm cả các nhà cung cấp cơ sở hạ tầng sạc xe điện, để bảo vệ người dùng khỏi các mối đe dọa an ninh mạng”.
Những người khác cho rằng cần tăng cường giám sát và quy định của chính phủ. Thậm chí, một số chuyên gia cho biết ngành xe điện có thể cần đến những “cuộc tấn công an ninh mạng” quy mô lớn để các bên liên quan thực sự nhìn nhận một cách nghiêm túc trong việc đẩy mạnh phát triển mạng lưới bảo mật với xe điện.