Chuyên gia bảo mật mua ô tô điện Trung Quốc giá 69.000 USD để tìm manh mối về gián điệp
Dự án Lion Cage của Tor Indstøy tìm cách xác định lượng dữ liệu mà chiếc ô tô điện Trung Quốc thu thập và gửi về quốc gia châu Á này.
Tor Indstøy, nhà nghiên cứu an ninh mạng người Na Uy, đã biến chiếc SUV điện Trung Quốc của gia đình mình thành vật thí nghiệm liên quan vấn đề thu thập dữ liệu.
Khi cần một chiếc ô tô lớn hơn cho gia đình vào năm 2022, Tor Indstøy đã sắm chiếc ô tô điện Trung Quốc trị giá 69.000 USD.
Tor Indstøy có động cơ thầm kín khi mua ES8, chiếc SUV điện hạng sang của công ty Nio (có trụ sở tại thành phố Thượng Hải, Trung Quốc). Chuyên gia an ninh mạng người Na Uy muốn nghiên cứu ES8 và tìm hiểu xem nó thu thập bao nhiêu dữ liệu rồi gửi về Trung Quốc.
Cùng với một số người bạn trong ngành, Tor Indstøy đã tạo ra dự án Lion Cage với mục đích phân tích ES8 từ trên xuống dưới và công bố kết quả.
Dự án khởi động vào tháng 7.2023. Kể từ đó, Tor Indstøy và nhóm của ông đã xuất bản gần 12 thông tin cập nhật về tiến độ của họ. Những thông tin đó chủ yếu bao gồm việc họ cố gắng tìm hiểu chiếc ES8 cực kỳ phức tạp và hoạt động về các bộ phận khác nhau trên ô tô điện này.
Tháng trước, Tor Indstøy đã mở dự án này cho bất kỳ thành viên nào khác trong cộng đồng bảo mật muốn trợ giúp. Đây là dự án cá nhân của Tor Indstøy và không liên quan đến công việc của ông với tư cách Phó chủ tịch quản lý rủi ro và tình báo mối đe dọa cho Telenor ASA, nhà cung cấp dịch vụ viễn thông chính ở Na Uy.
Người phát ngôn của Nio từ chối bình luận về chuyện trên.
Trung Quốc là thị trường ô tô điện lớn nhất thế giới. Một nghiên cứu của Cơ quan Năng lượng Quốc tế có trụ sở tại Paris (thủ đô Pháp) cho thấy, trong số 14 triệu ô tô điện mới được đăng ký trên toàn cầu vào năm 2023, gần 60% là ở Trung Quốc, vượt xa châu Âu (25%) và Mỹ (chỉ 10%).
Ô tô điện Trung Quốc hiện diện hạn chế ở Mỹ một phần do thuế quan từ chính quyền cựu Tổng thống Donald Trump áp đặt với phương tiện này và được người kế nhiệm ông là Joe Biden giữ nguyên.
Hôm 14.5, chính quyền Tổng thống Joe Biden đã công bố mức thuế quan mới với ô tô điện do Trung Quốc sản xuất, tăng gấp 4 lần mức thuế hiện tại từ 27,5% lên 102,5%, cũng như áp các mức thuế mới với pin năng lượng mặt trời, thép và nhôm.
Các mức thuế mới sẽ tác động đến 18 tỉ USD hàng hóa nhập khẩu từ Trung Quốc.
Theo tạp chí Time, hiện Trung Quốc xuất khẩu rất ít ô tô điện sang Mỹ nên khó có khả năng mức thuế mới sẽ có nhiều tác động trong ngắn hạn. Trong quý 1/2024, chỉ có một nhà sản xuất ô tô Trung Quốc là Geely xuất khẩu ô tô điện sang Mỹ và hãng này chiếm chưa đến 1% thị phần.
Tuy nhiên, chính quyền Biden giải thích họ lo ngại về lâu dài, các khoản trợ cấp từ Bắc Kinh dành cho ngành công nghiệp ô tô điện có thể giúp phía Trung Quốc giành được thị phần lớn hơn ở Mỹ.
Cuối tháng 2, Nhà Trắng cho biết Mỹ đang mở một cuộc điều tra về việc liệu ô tô nhập khẩu từ Trung Quốc có gây ra rủi ro an ninh quốc gia hay không và có thể áp đặt các hạn chế do lo ngại về công nghệ ô tô “được kết nối”.
Nhà Trắng tuyên bố cuộc điều tra của Bộ Thương mại Mỹ là cần thiết vì các phương tiện "thu thập lượng lớn dữ liệu nhạy cảm về tài xế và hành khách, thường xuyên sử dụng camera và cảm biến để ghi lại thông tin chi tiết về cơ sở hạ tầng của Mỹ".
Vì các ô tô tự lái có thể "được điều khiển hoặc vô hiệu hóa từ xa", Bộ Thương mại Mỹ cũng sẽ xem xét các loại xe này.
Thời điểm đó, Tổng thống Joe Biden tuyên bố: “Các chính sách của Trung Quốc có thể làm thị trường Mỹ ngập tràn xe của họ, gây ra rủi ro cho an ninh quốc gia. Tôi sẽ không để điều đó xảy ra dưới dưới sự quản lý của tôi".
Theo các chuyên gia, bất chấp những tranh cãi về ô tô điện do Trung Quốc sản xuất, không có nhiều dữ liệu công khai về các rủi ro bảo mật và quyền riêng tư cụ thể của phương tiện này.
Ô tô điện sử dụng một số lượng lớn chip để kiểm soát mọi thứ, từ mức không khí trong lốp đến điều hướng và quản lý pin, đồng thời mỗi loại có thể thu thập dữ liệu. Một chiếc ô tô điện có thể sử dụng 2.000 đến 3.000 con chip, gấp đôi so với chiếc xe hơi chạy bằng xăng. Tuy nhiên, thật khó để nghiên cứu chúng.
Theo Renaud Feil - người sáng lập và Giám đốc điều hành của Synacktiv, công ty tư vấn an ninh mạng ở Paris này đã nhận được sự hoan nghênh trong ngành vì hack xe điện Tesla tại cuộc thi thường niên do nhà sản xuất ô tô tài trợ. Renaud Feil cho biết các công cụ tiêu chuẩn được các nhà nghiên cứu an ninh mạng sử dụng để trích xuất dữ liệu từ PC (máy tính cá nhân) và máy chủ đơn giản là không hoạt động trên ô tô điện.
Do đó, các nhà nghiên cứu thường phải bắt đầu lại từ đầu, sử dụng các chương trình chuyên dụng để lấy dữ liệu từ nhiều hệ thống khác nhau của ô tô điện, tìm hiểu các giao thức bất thường và cố gắng hiểu cách tất cả phần hoạt động cùng nhau, Renaud Feil nói.
Tor Indstøy cho biết ông và nhóm của mình chưa phát hiện ra bất kỳ điều gì bất ngờ về Nio ES8, nhưng đã tìm thấy một số lĩnh vực tiềm ẩn đáng lo ngại.
Một là cách dữ liệu đến và đi từ ES8. Các nhà nghiên cứu cho biết khoảng 90% thông tin liên lạc, gồm hàng loạt dữ liệu từ lệnh thoại đơn giản tới ô tô và vị trí thực tế của xe điện, được gửi về Trung Quốc. Các điểm khác mà dữ liệu gửi đến là Đức, Mỹ, Hà Lan, Thụy Sĩ…
Theo Tor Indstøy, điều gây lo ngại khác là bản chất mơ hồ của một số thông tin liên lạc đó. Chẳng hạn, các nhà nghiên cứu đã tìm thấy một file duy nhất, không mã hóa được ES8 tải xuống liên tục từ địa chỉ web nio.com, nhưng đến nay, họ vẫn chưa tìm ra mục đích của hành động này.
Ngoài ra, ES8 có camera được tích hợp ở gương chiếu hậu. Sách hướng dẫn sử dụng cho biết đó là một phần của hệ thống “phát hiện tình trạng buồn ngủ của tài xế”, nhưng Tor Indstøy nói rằng điều này cũng cho thấy chủ sở hữu ES8 không có thông tin đầy đủ về dữ liệu được xe thu thập.
Ông nói: “Chúng tôi muốn nêu ý nghĩa thực sự về mặt an ninh và rủi ro của việc mua một chiếc ô tô Trung Quốc”.