Ô tô thông minh
Ô tô thông minh hay xe hơi thông minh (Smart Car) không còn là khái niệm khoa học viễn tưởng mà đã trở thành xu hướng phát triển tất yếu của ngành công nghiệp ô tô hiện đại. Nhờ sự tích hợp của trí tuệ nhân tạo (AI), Internet vạn vật (IoT), điện toán đám mây và công nghệ 5G, những chiếc xe ô tô ngày nay không chỉ đơn thuần là phương tiện di chuyển mà đã trở thành những “thiết bị di động thông minh” thực thụ.
Từ hệ thống giải trí kết nối, định vị thông minh cho đến tính năng lái tự động (Advanced Driver Assistance Systems - ADAS) và kết nối phương tiện với vạn vật (Vehicle-to-Everything - V2X), ô tô thông minh mang lại trải nghiệm cá nhân hóa, an toàn và tiện nghi vượt trội. Theo dự báo của công ty McKinsey (trụ sở chính tại Hoa Kỳ), đến năm 2030, hơn 95% xe mới bán ra sẽ có khả năng kết nối Internet, mở ra kỷ nguyên mới của giao thông thông minh nhưng cũng đòi hỏi các giải pháp bảo mật toàn diện để bảo vệ người dùng.
Tuy nhiên, đi cùng với những tiện ích đột phá này là những thách thức lớn về an ninh mạng, khi ô tô thông minh trở thành mục tiêu tiềm năng của tin tặc. Theo báo cáo năm 2024 từ Upstream Security (Israel), số vụ tấn công mạng vào ô tô đã tăng 225% từ năm 2018 đến 2023, với hơn 150.000 xe bị ảnh hưởng chỉ trong năm 2023.
Các cuộc tấn công không chỉ nhắm vào hệ thống giải trí mà còn là điều khiển từ xa phanh, tay lái hoặc động cơ, đe dọa trực tiếp đến tính mạng người dùng.
Hình 1. Thị trường ô tô thông minh toàn cầu từ 2022-2032 (nguồn t-systems.com)
Những mối đe dọa an ninh mạng phổ biến trên ô tô
Tấn công qua cổng kết nối: điểm yếu chết người trên ô tô thông minh
Cổng On-Board Diagnostics (OBD-II) vốn được thiết kế để chẩn đoán lỗi xe đã trở thành “con đường” tấn công ưa thích của tin tặc. Năm 2022, nhóm nghiên cứu bảo mật tại Đại học Bách khoa Michigan (Hoa Kỳ) đã chứng minh chỉ cần một thiết bị giá 50 USD cắm vào cổng OBD-II có thể chiếm quyền điều khiển hệ thống phanh và động cơ thông qua ECU. Đáng báo động hơn, 78% xe hơi đang lưu hành tại Mỹ sử dụng chuẩn OBD-II với giao thức bảo mật lỗi thời từ những năm 1990. Số liệu này do Cục An toàn Giao thông đường bộ Quốc gia Mỹ (National Highway Traffic Safety Administration - NHTSA) - cơ quan chịu trách nhiệm thiết lập và giám sát các tiêu chuẩn an toàn xe cơ giới, bao gồm cả hệ thống chẩn đoán OBD-II cung cấp.
Không chỉ OBD-II, các kết nối Bluetooth và Wi-Fi trên ô tô cũng chứa đầy rủi ro. Lỗ hổng CVE-2022-27254 trong hệ thống Bluetooth của một hãng xe Đức cho phép tin tặc nghe lén cuộc gọi hands-free, thậm chí chèn mã độc vào hệ thống giải trí trung tâm. Các chuyên gia tại Kaspersky Lab đã phát hiện 23 lỗ hổng zero-day trong phần mềm kết nối xe thông minh chỉ trong năm 2023.
Khai thác phần mềm: mối đe dọa từ những dòng code
Theo Liên minh Auto - ISAC, hệ điều hành Automotive Grade Linux (AGL) được sử dụng bởi Toyota, Honda và nhiều hãng xe khác đã ghi nhận 47% lỗ hổng bảo mật từ 2022-2024. Điển hình là lỗ hổng CVE-2023-2879 cho phép tin tặc thực thi mã từ xa thông qua lỗ hổng tràn bộ đệm trong module xử lý hình ảnh.
Quá trình cập nhật phần mềm Over-The-Air (OTA) cũng tiềm ẩn nguy cơ lớn. Năm 2023, nhóm White hat hacker tại Trung Quốc đã chứng minh có thể giả mạo server cập nhật của một hãng xe điện nổi tiếng, qua đó cài backdoor vào 5.000 xe thông qua bản vá bảo mật giả mạo. Điều này đặt ra câu hỏi lớn về chuỗi cung ứng phần mềm (Software Supply Chain) trong ngành ô tô.
Hình 2. Thị trường an ninh mạng ô tô toàn cầu từ 2022-2032 (nguồn market.us)
Tấn công mạng di động: khi kết nối trở thành điểm yếu
Với sự phổ biến của kết nối 5G và V2X, ô tô thông minh đã trở thành một nút mạng di động thực thụ. Thử nghiệm của Viện Fraunhofer SIT (Đức) cho thấy tin tặc có thể dùng thiết bị Stingray giá 1.500 USD để giả mạo trạm phát sóng di động (Fake BTS), qua đó chặn đứng mọi kết nối từ xe về trung tâm điều khiển.
Nguy hiểm hơn, hệ thống V2X sử dụng chuẩn Dedicated Short-Range Communications (DSRC) dễ bị tấn công spoofing. Năm 2024, các nhà nghiên cứu tại Đại học Bách khoa Michigan đã thành công trong việc gửi tín hiệu giả làm 10 xe tự lái phanh gấp đồng loạt bằng cách giả mạo tín hiệu từ đèn giao thông thông minh. Sự kiện này khiến NHTSA phải ban hành khuyến cáo khẩn cấp về bảo mật V2X.
*còn tiếp…