2024-03-20, tác giả: Brandonle

Các nhà nghiên cứu an ninh mạng chỉ mất chưa đầy 10 phút để hack vào trụ sạc xe điện. "Tất cả những gì tôi cần là một công cụ để mở nó ra, lấy ra một trong những chip phần cứng, sau đó chúng tôi có thể đọc và tìm thấy dữ liệu cá nhân của bạn", một nhà nghiên cứu chia sẻ. Nhà báo cảnh báo: "Trụ sạc xe điện ngày càng dễ bị tấn công mạng, có thể làm lộ dữ liệu nhạy cảm, xâm nhập mạng Wi-Fi và trong trường hợp xấu nhất, có thể gây ra sự cố mất điện lưới. Chúng tôi đã tạo ra các cuộc tấn công có thể được sử dụng để kích hoạt hàng nghìn cục pin xe điện cùng một lúc. Điều này có thể gây ra các đợt tăng điện áp trên lưới điện, dẫn đến mất điện diện rộng."

Tin Mới Nhất

Chuyên gia an ninh mạng sẽ trình diễn các bản demo hack khác để giúp chúng ta hiểu rõ hơn về những rủi ro do trụ sạc xe điện gây ra và những việc cần làm để giảm thiểu các lỗ hổng này. "Vì vậy, tôi cho rằng chúng tôi là những người tốt", một chuyên gia chia sẻ. "Nhiệm vụ của chúng tôi là phá vỡ mọi thứ để giúp các tổ chức cải thiện hệ thống an ninh." Được biết, chuyên gia an ninh mạng trong video là Ken Munro, đồng sáng lập Pen Test Partners, một công ty nghiên cứu an ninh mạng có trụ sở tại Vương quốc Anh, chuyên về lĩnh vực "ethical hacking" (tin tặc mũ trắng). Pen Test Partners được các tổ chức thuê để thâm nhập hệ thống của họ theo cách được kiểm soát nhằm tìm ra lỗ hổng để vá lại, ngăn chặn tin tặc tấn công. Ngoài ra, họ cũng thường xuyên tiến hành nghiên cứu độc lập trên các sản phẩm như trụ sạc xe điện. Trong một cuộc thử nghiệm, Pen Test Partners đã phát hiện ra hai lỗ hổng bảo mật nghiêm trọng trên bộ sạc tại nhà của Wallbox. Lỗ hổng đầu tiên liên quan đến phần cứng của thiết bị. Mặc dù khả năng kẻ gian đột nhập vật lý vào nhà bạn để tấn công sạc là thấp, nhưng hậu quả của nó lại rất nghiêm trọng vì chúng có thể đánh cắp được thông tin cá nhân nhạy cảm. Cụ thể, tin tặc có thể lấy cắp phần cứng từ bộ sạc khi bạn sơ hở, qua đó truy cập được vào mật khẩu Wi-Fi của gia đình, đánh chặn mật khẩu và potentially đánh cắp thông tin ngân hàng. Lỗ hổng thứ hai nằm ở bộ xử lý của sạc, chạy trên nền tảng phần cứng Raspberry Pi Compute Module 3. Raspberry Pi là lựa chọn tuyệt vời cho giáo dục và tạo mẫu thử, nhưng không phù hợp cho các sản phẩm thương mại như sạc xe điện. Wallbox đã sử dụng phần cứng này trong phiên bản sạc năm 2018, vốn không được liệt kê để sử dụng trong lĩnh vực công nghiệp trên website của Raspberry Pi. Mặc dù giúp đưa sản phẩm ra thị trường nhanh chóng, nhưng đây lại là một rủi ro lớn về bảo mật khi hàng trăm nghìn thiết bị được bán ra. Pen Test Partners cho biết lỗ hổng phần cứng này vẫn chưa được vá trên các sạc đời 2018, nhưng Wallbox khẳng định các phiên bản mới hơn đã không còn lỗ hổng này. Trong tuyên bố chính thức, đại diện Wallbox cho biết, "Để thích ứng với các quy định mới nhất và tiêu chuẩn cao nhất, chúng tôi đã ra mắt nền tảng phần cứng mới vào năm 2022, bao gồm các biện pháp bảo mật tiên tiến." Raspberry Pi hiện chưa đưa ra phản hồi về vấn đề này, nhưng Munro cho biết các phiên bản phần cứng Raspberry Pi mới có tính năng bảo mật mạng mạnh mẽ hơn. Tin tặc cũng có thể tấn công bộ sạc từ xa thông qua internet. Cách dễ dàng nhất mà Pen Test Partners tìm ra là xâm nhập vào nền tảng đám mây để làm chủ hệ thống. Trạm sạc được kết nối thông qua toàn bộ hệ sinh thái của các nền tảng, chẳng hạn như ứng dụng điện thoại thông minh, dịch vụ đám mây và mạng wifi. Đây chính là vấn đề lớn. Tính kết nối giúp mọi thứ hoạt động trơn tru, nhưng chỉ một lỗ hổng bảo mật cũng có thể khiến toàn bộ hệ thống bị xâm phạm.

Ví dụ, Pen Test Partners phát hiện ra rằng bộ sạc Wallbox không xác minh chính xác người dùng khi sạc được điều khiển bởi ứng dụng điện thoại thông minh. Điều này có nghĩa là tin tặc có thể kết nối với bất kỳ bộ sạc nào và bật/tắt nó từ xa. Pen Test Partners đã thông báo cho Wallbox về lỗ hổng phần mềm này và công ty cho biết đã khắc phục sự cố ngay sau đó. Đại diện Wallbox khẳng định, "Chúng tôi coi trọng các lỗ hổng tiềm ẩn và ngay lập tức vá lỗ hổng phần mềm khi được cảnh báo về sự cố vào năm 2021." Tuy nhiên, ngay cả khi các lỗi phần mềm như thế này được vá, người dùng vẫn có thể quên cập nhật thiết bị của họ. Cập nhật phần mềm là một trong những điều quan trọng nhất bạn có thể làm để đảm bảo an ninh cho xe điện, điện thoại, máy tính gia đình, v.v. Lỗ hổng bảo mật không chỉ giới hạn ở mảng phần mềm. Pen Test Partners cũng tìm thấy những thiếu sót trong thiết kế phần cứng của một số sạc xe điện, chẳng hạn như sạc của Project EV.

Mặt trái của sự tiện lợi: Trạm sạc xe điện tiềm ẩn nhiều lỗ hỏng bảo mật. Mã số seri trên thân trụ sạc đóng vai trò như một thông tin đăng nhập để truy cập vào phần mềm của thiết bị. Nhờ đó, Pen Test Partners có thể đánh cắp tài khoản người dùng và ngăn chặn sạc. "Vấn đề nghiêm trọng là tất cả các mã seri này đều được sắp xếp theo thứ tự. Vì vậy, chỉ cần có một mã, chúng tôi có thể kiểm tra tất cả các mã xung quanh và chiếm quyền điều khiển mọi trụ sạc", đại diện Pen Test Partners chia sẻ. Project EV cho biết đã khắc phục lỗ hổng này bằng cách cập nhật phần mềm. Trong tuyên bố chính thức, họ khẳng định "Công ty luôn coi trọng vấn đề an ninh mạng và thực hiện mọi biện pháp phòng ngừa cần thiết. Người dùng cũng cần có trách nhiệm cập nhật ứng dụng để đảm bảo họ có các giao thức bảo mật mới nhất cho sản phẩm". Ngoài ra, Project EV nhấn mạnh, "Tất cả các trụ sạc hiện tại đều đáp ứng các tiêu chuẩn bảo mật cao nhất hiện nay". Tuy nhiên, các chuyên gia an ninh mạng cảnh báo rằng vẫn còn nhiều lỗ hổng khác chưa được vá. Nhiều nghiên cứu đã phát hiện ra các lỗi cho phép tin tặc kết nối từ xa với trụ sạc và cài đặt phần mềm độc hại. Điều này mở đường cho kẻ tấn công làm nóng quá pin xe điện, tấn công mạng wifi hoặc thậm chí kiểm soát toàn bộ phương tiện. Tác động tích lũy của các kiểu tấn công này có thể gây ra thiệt hại nghiêm trọng. Hệ thống lưới điện được thiết kế để hoạt động ở trạng thái tương đối ổn định, và sẽ gặp vấn đề lớn nếu có sự gia tăng đột ngột hoặc giảm mạnh nhu cầu sử dụng điện. Cả hai trường hợp này đều có thể xảy ra do một nhóm xe điện được sạc hoặc ngừng sạc cùng một lúc theo sự điều khiển của tin tặc. Trong một nghiên cứu năm 2020, các nhà nghiên cứu tại Đại học New York đã mô phỏng tình huống giả định nơi một nhóm tin tặc có thể sử dụng chưa đến 1.000 trụ sạc xe điện để đánh sập lưới điện Manhattan. "Chúng tôi vô tình tạo ra những vũ khí có thể bị các thế lực nước ngoài sử dụng chống lại chúng tôi", một chuyên gia chia sẻ. Độ phức tạp ngày càng tăng của xe điện và các mạng lưới mà chúng kết nối khiến việc bảo vệ chúng khỏi tấn công trở nên khó khăn hơn. Lượng mã nguồn trong một chiếc xe điện thậm chí còn nhiều hơn lượng mã nguồn được sử dụng trong các tên lửa bay lên mặt trăng. Điều này tạo ra một bề mặt tấn công khổng lồ. Nói chung, càng nhiều tính năng, kẻ tấn công càng có nhiều cách để khai thác lỗ hổng. Trong khi các vụ tấn công được báo cáo cho đến nay tương đối nhỏ, rủi ro sẽ chỉ gia tăng khi các công ty, chính phủ và người tiêu dùng vội vã lắp đặt thêm nhiều trụ sạc hơn. Một trường hợp ở miền nam nước Anh, trụ sạc bị hack và bắt đầu hiển thị nội dung khiêu dâm. Gần đây, trong giai đoạn đầu của cuộc xung đột Nga-Ukraine, các trụ sạc xe điện của Nga cũng ngừng hoạt động ngoại tuyến với các thông báo bị hack. Những điều này đang thực sự xảy ra. Hiệp hội Sạc xe điện (Electric Vehicle Charging Association), một tổ chức thương mại đại diện cho ngành công nghiệp mạng lưới sạc công cộng ở Bắc Mỹ, cho biết "Ngành công nghiệp hiểu được tầm quan trọng của an ninh mạng và coi trọng vấn đề này". Hiện tại, có hơn 160.000 trụ sạc công cộng trên khắp nước Mỹ và Đạo luật Cơ sở hạ tầng năm 2021 cung cấp kinh phí để xây dựng thêm 500.000 trụ sạc nữa. Tuy nhiên, trong quá trình đẩy nhanh mở rộng cơ sở hạ tầng sạc xe điện, các chuyên gia cho rằng vấn đề an ninh mạng đã bị xếp xó. "Mọi người đều muốn di chuyển nhanh nhất có thể để giành lợi thế tiên phong. Nhiều nhà sản xuất vội vàng đưa sản phẩm ra thị trường để chiếm thị phần, nhưng lại bỏ qua khâu bảo mật an ninh mạng", một chuyên gia chia sẻ. Hiện tại, Mỹ không có bất kỳ quy định nào về an ninh mạng cho xe điện. Nhưng một số chuyên gia cho rằng có thể cần đến một cuộc tấn công mạng lớn vào cơ sở hạ tầng xe điện trước khi ngành công nghiệp và các nhà lập pháp tăng cường các nỗ lực phòng ngừa. Trước mắt, chuyên gia Munro khuyên người tiêu dùng nên tự chủ động bảo vệ thiết bị của mình.

Ý kiến độc giả

feature-top

Đăng bình luận