Nỗi lo lỗ hổng an ninh phần mềm xe hơi

Công ty An ninh mạng RunSafe Security (Mỹ) mới đây đã công bố kết quả một cuộc khảo sát 2.000 tài xế ở Mỹ, Anh và Đức. Có đến 90% tài xế được hỏi cho biết vấn đề an ninh phần mềm xe hơi có ảnh hưởng trực tiếp đến quyết định mua xe của họ. Có 35% người được hỏi cho biết họ sẵn sàng trả thêm tiền để mua mẫu xe an toàn hơn về phần mềm. Khó có thể chối bỏ rằng thị trường đang càng ngày quan tâm tới tính bảo mật phần mềm của xe hơi, nhưng trên thực tế thì các hãng sản xuất xe vẫn chưa đuổi kịp được yêu cầu của người tiêu dùng.

Nguy hiểm khắp nơi

Chuyên gia an ninh mạng Eaton Zveare (Mỹ) trả lời phỏng vấn trang tin Automotive News: “Một chiếc xe hạng sang hiện nay có hơn 150 bộ điều khiển điện tử (ECU) đảm nhận các chức năng như phanh tự động, cruise control, LIDAR,... Mỗi ECU đều lưu lại dữ liệu có thể bị tin tặc lợi dụng. Đấy là chưa kể các phần mềm kết nối với tài khoản ngân hàng hay tài khoản Spotify của chúng ta. Tài xế thời hiện đại đang để lại quá nhiều “dấu vân tay điện tử” trên chiếc xe của họ mà bản thân không hề biết”. Các ECU liên quan đến chức năng mở cửa xe, định vị toàn cầu, kết nối Bluetooth và hỗ trợ đậu xe là những mục tiêu rủi ro nhất trên xe hơi hiện đại.

Nói cách khác thì chiếc xe càng có nhiều cách kết nối với thế giới bên ngoài thì lại càng gặp nhiều hiểm họa. Năm 2015, hai nhà nghiên cứu người Mỹ Charlie Miller và Chris Valasek đã thực hiện thành công thử nghiệm chiếm quyền kiểm soát 100% chiếc xe Jeep Cherokee thông qua lỗ hổng mật khẩu Wi-Fi của xe. Sau khi xâm nhập hệ thống xe thành công, hai nhà nghiên cứu có thể theo dõi mọi chuyển động của xe hay thậm chí là buộc xe dừng giữa đường mà tài xế không làm gì được. Phát hiện trên buộc tập đoàn Fiat Chrysler thu hồi 1,4 triệu xe Jeep Cherokee để sửa lỗi.

Nỗi lo lỗ hổng an ninh phần mềm xe hơi -0
Hệ thống GPS gặp nhiều nguy hiểm từ hacker.

Một trường hợp khác mới được phát hiện hồi đầu tháng 7/2025 có liên quan đến bốn lỗ hổng bảo mật trong thư viện phần mềm BlueSDK của OpenSynergy (Đức). BlueSDK là giải pháp phần mềm Bluetooth thiết kế dành riêng cho ô tô và hiện được sử dụng trên hàng triệu xe Mercedes-Benz, Volkswagen và Skoda. Lỗ hổng bảo mật của BlueSDK cho phép tin tặc xâm nhập vào ECU điều khiển các bộ phận cơ bản trên xe và buộc ECU thực hiện code độc. Đối tượng chỉ cần lại gần ô tô của nạn nhân để xác định được nguồn sóng Bluetooth của thiết bị giải trí trên xe, còn việc xâm nhập hệ thống được phần mềm thực hiện tự động 100%.

Tin tặc không chỉ nhắm đến những chiếc xe đơn lẻ. Chuyên gia Matt Brady tại Công ty An ninh mạng Palo Alto Networks (Mỹ) nhận xét: “Ngành công nghiệp ô tô chịu thiệt hại rất nặng từ những vụ tấn công mạng bởi vì dây chuyền sản xuất đã tự động hóa gần như toàn bộ. Một dây chuyền buộc phải tạm ngừng để sửa lỗi bảo mật hoàn toàn có thể gây thiệt hại hàng trăm triệu USD, rồi khiến doanh nghiệp không thể hoàn thành nghĩa vụ nợ và phải chịu hạ mức tín dụng”.

Một ví dụ minh chứng cho nhận xét của ông Brady là vụ tấn công mạng vào nhà máy sản xuất xe Land Rover của Tập đoàn Jaguar (Anh). Ngày 31/8/2025 và được cho là vụ tấn công mạng nguy hại nhất trong lịch sử nước Anh với thiệt hại ước tính khoảng 1,9 tỷ Bảng. Jaguar phải mất hơn một tháng để vá lỗ hổng bảo mật và khắc phục thiệt hại. Dây chuyền sản xuất xe Land Rover chỉ mới trở lại hoạt động bình thường vào ngày 1/10 vừa qua.

Jaguar trong những năm gần đây đã đầu tư rất nhiều vào việc hiện đại hóa dây chuyền sản xuất. Họ bắt đầu hợp tác với Tập đoàn công nghệ Tata Technologies (Ấn Độ) từ năm 2023 để đưa vào ứng dụng SAP S/4HANA, một hệ thống cơ sở dữ liệu quản lý tổng thể từ khâu kế toán, nhân sự đến phân phối và bán hàng. Nhưng tháng 8/2023, ba nhóm tin tặc Scattered Spider, Lapsus$ và ShinyHunters đã phối hợp để khai thác lỗ hổng bảo mật trong các hệ thống SAP. Jaguar không phải là công ty duy nhất tại Mỹ và Anh bị ba nhóm tin tặc trên tấn công đòi tiền chuộc.

Đại học Óbuda (Hungary) và đại học Oslo (Na Uy) mới đây đã xuất bản báo cáo một cuộc điều tra chung về vấn đề an ninh mạng trong ngành sản xuất ô tô. Kết quả điều tra không khỏi khiến giới chuyên gia lo ngại.

Ông Paul Shaver, Giám đốc bộ phận bảo mật môi trường vận hành của Mandiant (công ty con của Tập đoàn Google), giải thích: “Dây chuyền sản xuất ô tô hiện đại phụ thuộc rất nhiều vào công nghệ Internet of Things (IoT) và trí tuệ nhân tạo (AI). Có quá nhiều “cửa sau” để tin tặc nhắm vào. Cuộc điều tra của hai trường đại học cho thấy tuy các nhà sản xuất xe nhận thức được sự cấp bách của vấn đề, họ vẫn chưa đáp ứng đầy đủ yêu cầu của tình hình. Một số công ty chỉ chú trọng đến tính bền vững của hệ thống, số khác thì lại chỉ tập trung vào bảo mật thông tin. Chưa có doanh nghiệp nào sở hữu một mạng lưới sản xuất an toàn từ đầu đến cuối. Họ không thể chắc chắn rằng nhà cung cấp, nhà thầu phụ rồi nhà phân phối của mình đang an toàn”.

Ông Shaver viện dẫn vụ tấn công hồi tháng 6/2024 nhắm vào Tập đoàn CDK Global (Mỹ): “CDK Global cung cấp phần mềm quản lý cho hơn 15.000 đại lý xe hơi trên toàn nước Mỹ và Canada. 15.000 đại lý này đều bị buộc phải tạm ngưng hoạt động khi CDK Global bị tin tặc Đông Âu tấn công đòi tiền chuộc. CDK buộc phải trả 25 triệu USD tiền điện tử Bitcoin cho hacker. Số tiền này chưa là gì so với khoản thiệt hại 605 triệu USD”.

Đối mặt với thử thách

Các tổ chức mang tầm quốc gia và quốc tế đang đẩy mạnh việc thiết lập những bộ quy chuẩn mới về an ninh phần mềm xe hơi. Đơn cử như Diễn đàn Thống nhất quy chuẩn về phương tiện do Liên hợp quốc tổ chức từ ngày 11 đến 14/11/2025. Diễn đàn đã thống nhất đưa ra được Quy định Liên hợp quốc số 155 bắt buộc các công ty ô tô trên toàn cầu phải áp dụng hệ thống quản lý bảo mật an ninh dữ liệu Cybersecurity Management Systems (CSMS). Hiện nay doanh nghiệp xe hơi nào chưa áp dụng CSMS sẽ không được phép nhập khẩu sản phẩm của mình vào Châu Âu.

Nỗi lo lỗ hổng an ninh phần mềm xe hơi -0
Tiện nghi hoàn toàn có thể đi cùng hiểm họa.

Giáo sư ngành an ninh mạng David Brumley tại Đại học Carnegie Mellon (Mỹ) nhận xét: “Sự xuất hiện của càng nhiều bộ quy chuẩn về an ninh phần mềm xe hơi là điều tốt nhưng cũng có thể là “con dao hai lưỡi”. Ví dụ như các quy chuẩn do Tổ chức tiêu chuẩn hóa quốc tế (ISO) ban hành. ISO 21434 là tiêu chuẩn áp dụng cho phần mềm đang trong quá trình phát triển, còn ISO R155 áp dụng cho phần mềm đang được triển khai trong dây chuyền sản xuất và sản phẩm. Tôi đã gặp không ít chuyên gia rồi nhà sản xuất nhầm lẫn giữa hai bộ tiêu chuẩn này. Ngay cả việc đọc kỹ, hiểu kỹ từng tiêu chuẩn một mà họ cũng không làm. Kết quả là nhiều xe hơi đang được cho xuất xưởng với bộ phần mềm đầy lỗ hổng và hoàn toàn không đáp ứng được R155”.

Nhưng vẫn có những tín hiệu tích cực từ phía nhà sản xuất. Các công ty ô tô đang đẩy mạnh việc đáp ứng tiêu chuẩn về lập trình an toàn, về kiểm tra code, về thường xuyên kiểm tra tính bảo mật của sản phẩm. Phần mềm trên xe càng ngày có thêm nhiều lớp bảo vệ nhằm ngăn chặn sự xâm nhập trái phép từ các nguồn chưa rõ. Một nhóm các nhà sản xuất ô tô ở Mỹ và Châu Âu mới đây đã thống nhất được về việc tăng cường khả năng mã hóa cho CAN bus. CAN bus là chuẩn giao tiếp chung cho phép các ECU trong một xe có thể giao tiếp với nhau mà không cần thông qua máy tính. Đã có nhiều trường hợp tin tặc chiếm được quyền điều khiển xe bằng cách tấn công vào CAN bus.

Ông Paul Shaver cho biết: “Hệ thống phát hiện xâm nhập trên nhiều xe vẫn còn quá lỏng lẻo và chưa thể theo dõi dòng thông tin theo thời gian thực. Một vấn đề cấp bách khác là áp dụng công nghệ sinh trắc học và công nghệ băng thông siêu rộng để phân biệt xem nguồn truy cập nào là chính chủ, nguồn nào là trái phép. Ngoài ra còn việc cải thiện khả năng mã hóa thời gian thực để đảm bảo rằng việc cập nhật phần mềm xe qua mạng diễn ra thật an toàn”.

Xu hướng hiện nay là sử dụng AI để theo dõi, phân tích dòng dữ liệu rồi tìm ra những chiến lược mới để bảo vệ phần mềm của xe hơi, của dây chuyền sản xuất. Ngoài lợi ích nhãn tiền của công nghệ này, một điểm mạnh khác mà nó đem lại là cho phép nhà sản xuất thu thập được rất nhiều dữ liệu trong thời gian ngắn, từ đó xây dựng cơ sở dữ liệu về các hiểm họa rồi dựa vào đó mà đưa ra giải pháp.

Tuy nhiên công nghệ hiện đại nào cũng không thể thay thế được con người, hay đúng hơn trong trường hợp này là ý thức của doanh nghiệp. Giáo sư David Brumley cho biết: “Đến tận năm 2024 mà Audi vẫn cho xuất xưởng xe với vô số lỗ hổng trong những phần mềm như FreeImage. FreeImage và các phần mềm của bên thứ ba trên xe của Audi đã không được cập nhật từ lâu lắm rồi. Phải đến khi các cấp quản lý Châu Âu vào cuộc thì Audi mới gỡ bỏ phần mềm không an toàn.... Bộ tiêu chuẩn có hoàn thiện đến đâu, công nghệ có hiện đại đến đâu mà nhà sản xuất không có ý thức rồi không có phía chức năng buộc nhà sản xuất có ý thức thì tiêu chuẩn, công nghệ cũng chẳng có tác dụng”.

Lê Công Vũ

Các tin khác

Cảm biến lượng tử truy tìm tín hiệu vô tuyến

Cảm biến lượng tử truy tìm tín hiệu vô tuyến

Giữa môi trường tác chiến điện từ ngày càng phức tạp, nơi hàng trăm nguồn phát tín hiệu có thể xuất hiện đồng thời trên chiến trường, quân đội Mỹ đang tìm kiếm những công cụ mới để nâng cao năng lực nhận thức tình huống. Trong nỗ lực đó, các nhà khoa học thuộc Phòng thí nghiệm Nghiên cứu Lục quân Mỹ (ARL) vừa trình diễn một cảm biến lượng tử thế hệ mới có khả năng xác định hướng của trường điện từ tần số vô tuyến trong không gian ba chiều.

UAV cải tiến có thể tự “săn mồi” trong vùng gây nhiễu

UAV cải tiến có thể tự “săn mồi” trong vùng gây nhiễu

Chiến trường tương lai có thể không còn được quyết định bởi số lượng UAV, mà bởi khả năng chúng tiếp tục chiến đấu khi bị "làm mù" và "cắt đứt liên lạc". Một công bố mới từ Trung Quốc về thuật toán AI HG-STR đang thu hút sự chú ý của giới quân sự khi tuyên bố giúp bầy UAV tự phối hợp truy tìm mục tiêu trong môi trường tác chiến điện tử phức tạp.

Bóng đen sau cánh cửa 37 quốc gia

Bóng đen sau cánh cửa 37 quốc gia

Tháng 2/2026, khi Palo Alto Networks công bố báo cáo về một chiến dịch gián điệp mạng quy mô toàn cầu, Pete Renals, Giám đốc Chương trình An ninh quốc gia của Unit 42, đã dùng một so sánh rất nặng. Ông nói với Recorded Future News rằng đây có thể là vụ xâm phạm hạ tầng chính phủ toàn cầu nghiêm trọng nhất do một nhóm được nhà nước hậu thuẫn thực hiện kể từ SolarWinds. So sánh ấy không ồn ào. Nhưng ai từng theo dõi SolarWinds năm 2020 đều hiểu nó nặng đến mức nào.

EU sẽ gia nhập “mặt trận” chip AI

EU sẽ gia nhập “mặt trận” chip AI

EU dự kiến tham gia sáng kiến chip AI do Mỹ khởi xướng, đánh dấu bước dịch chuyển đáng chú ý trong nỗ lực của phương Tây nhằm kiểm soát chuỗi cung ứng công nghệ chiến lược và kiềm chế tham vọng công nghệ của Trung Quốc.

Gián rít Madagascar - trinh sát toàn năng trong tương lai?

Gián rít Madagascar - trinh sát toàn năng trong tương lai?

Công nghệ điện tử - tự động hóa và trí tuệ nhân tạo phát triển, nhiều sản phẩm viễn tưởng bước ra khỏi phim ảnh để vào đời thực. Tiên phong có gián rít Madagascar “côn trùng người máy” đầu tiên của các nhà khoa học Đức.

Số phận của chiếc MQ1-Predator

Số phận của chiếc MQ1-Predator

Nhiệm vụ chính của máy bay không người lái MQ-1 Predator là ngăn chặn và tiến hành trinh sát vũ trang chống lại mục tiêu quan trọng, dễ bị phá hủy. Khi không thực hiện nhiệm vụ chính, MQ-1 sẽ cung cấp hoạt động trinh sát, giám sát và xác định mục tiêu để hỗ trợ chỉ huy Lực lượng Liên hợp.

Thế giới không thể lơ là trước cuộc chiến chống Ebola

Thế giới không thể lơ là trước cuộc chiến chống Ebola

Một “con bệnh” từ những cánh rừng châu Phi lại trỗi dậy, gióng lên hồi chuông cảnh báo về sự mong manh của an ninh y tế toàn cầu. Virus Ebola, với tỷ lệ tử vong cao và khả năng gieo rắc nỗi kinh hoàng đang bùng phát trở lại. Một cuộc chiến mới với ngành y tế thế giới lại bắt đầu.

Nhân tố con người trong kỷ nguyên AI quân sự

Nhân tố con người trong kỷ nguyên AI quân sự

Xu hướng đưa trí tuệ nhân tạo (AI) vào lĩnh vực quân sự ngày càng tăng, nhưng cơ chế quản lý vẫn chưa rõ ràng. Dù mang lại nhiều lợi ích cho ngành tình báo và hậu cần, việc quá phóng đại năng lực AI dễ đẩy cao căng thẳng toàn cầu và gây ra những sai sót hệ thống. Trước thực trạng đó, bà Jacquelyn Schneider, Giám đốc Sáng kiến Mô phỏng Chiến tranh và Khủng hoảng tại Viện Hoover (Đại học Stanford), nhận định rằng kiểm soát an toàn từ khâu phát triển và nâng cao tư duy phản biện cho quân nhân là giải pháp cốt lõi.

Khi AI bước vào chiến trường

Khi AI bước vào chiến trường

Quân đội Mỹ đang phát triển các mô hình AI được huấn luyện dựa trên dữ liệu từ nhiệm vụ thực tế, với mục tiêu triển khai một chatbot AI (trí tuệ nhân tạo) dành riêng cho binh sĩ, cho thấy tham vọng đẩy nhanh ứng dụng AI trong quân sự.

Những bí mật không thể xóa trong dữ liệu ADN

Những bí mật không thể xóa trong dữ liệu ADN

Ngày 23/3/2025, công ty xét nghiệm gen 23andMe nộp đơn xin bảo hộ phá sản theo Chương 11 tại Tòa Phá sản Mỹ khu vực Đông Missouri. Trong vòng 24 giờ, lượng truy cập vào trang web của công ty tăng 526%. Không phải vì khách hàng muốn đọc thông báo phá sản, mà vì hàng triệu người đổ xô vào trang hỗ trợ với một mục đích duy nhất: xóa dữ liệu ADN của mình trước khi chúng bị chuyển giao trong một thương vụ phá sản. Nhưng câu hỏi mà không ai trong số họ có thể trả lời được là: liệu xóa có còn kịp không?

Bộ xương giả và 41 năm tự đánh lừa của khoa học Anh

Bộ xương giả và 41 năm tự đánh lừa của khoa học Anh

Suốt 41 năm, giới khoa học và công chúng đã đặt niềm tin vào một “sự thật” mang tên “Người Piltdown”. Vụ lừa đảo kinh điển này không chỉ phơi bày sự xảo quyệt của một cá nhân, mà còn là lời cảnh báo sâu sắc về những điểm mù của tri thức khi bị dẫn dắt bởi thiên kiến xác nhận và lòng tự tôn dân tộc thái quá.

Bom không nổ hủy diệt hệ thống điện

Bom không nổ hủy diệt hệ thống điện

Lực lượng Nga tại các khu vực tạm chiếm thuộc vùng Donetsk tuyên bố rằng, lực lượng Ukraine đã sử dụng máy bay không người lái (UAV) trang bị bom graphite (than chì) trong các cuộc tấn công ban đêm. Điều này làm dấy lên nhiều câu hỏi về loại vũ khí này, lý do tại sao chúng có thể hiệu quả, và loại máy bay không người lái nào của Ukraine có khả năng mang loại vũ khí này?

Vũ khí “Made in Japan” mở đường tiến ra thị trường toàn cầu

Vũ khí “Made in Japan” mở đường tiến ra thị trường toàn cầu

Sau nhiều thập kỷ tự ràng buộc bởi các chính sách hạn chế nghiêm ngặt, Nhật Bản đã chính thức dỡ bỏ rào cản xuất khẩu vũ khí sát thương. Bước ngoặt này mở ra vận hội mới cho ngành công nghiệp quốc phòng Nhật Bản và đưa các sản phẩm "Made in Japan" vào thị trường vũ khí toàn cầu - một thị trường mà Tokyo chưa từng thực sự đặt chân vào kể từ sau Thế chiến II.

Koral - Tên lửa đất đối không của Ukraine

Koral - Tên lửa đất đối không của Ukraine

Tên lửa đất đối không Koral (đôi khi cũng được viết là Coral) dường như đã ra mắt công chúng như một phần trong loạt hệ thống vũ khí nội địa mới của Ukraine được giới thiệu gần đây.

Những thử nghiệm độc đáo của NASA trong không gian

Những thử nghiệm độc đáo của NASA trong không gian

Các thí nghiệm trên tàu con thoi vũ trụ đã chỉ ra rằng vi khuẩn Salmonella, một nguồn gây ngộ độc thực phẩm phổ biến và đôi khi gây tử vong, trở nên độc hại hơn trong không gian. Đó là nghiên cứu được thực hiện trên chuyến bay STS-115 của tàu Atlantis năm 2006 và STS-123 của tàu Endeavour hai năm sau đó...

Báo động tình trạng ma túy xâm nhập học đường

Báo động tình trạng ma túy xâm nhập học đường

Những lọ tinh dầu nhỏ gọn, mang vẻ ngoài vô hại như dung dịch thuốc nhỏ mắt hay tinh dầu thuốc lá điện tử đang trở thành lớp vỏ ngụy trang tinh vi cho các chất ma túy thế hệ mới. Không chỉ dừng lại ở việc sử dụng, mà đau lòng hơn, nhiều em học sinh còn mua bán, tàng trữ ngay trong môi trường học đường, gióng lên hồi chuông cảnh báo về tình trạng mua bán ma túy ngày càng trẻ hóa.

Hiệu quả chuyển đổi số trong công tác tuyển sinh đầu cấp

Hiệu quả chuyển đổi số trong công tác tuyển sinh đầu cấp

Những ngày gần đây, các địa phương trên cả nước đang tất bật triển khai công tác tuyển sinh đầu cấp. Với thành phố đông dân, tập trung nhiều trường học như Thủ đô Hà Nội, công tác tuyển sinh càng được chú trọng thay đổi; từ khâu đăng ký dự thi, tra cứu thông tin đến công bố kết quả triển khai đồng bộ các nền tảng trực tuyến, mang lại sự thuận tiện và minh bạch hơn cho phụ huynh, học sinh.