Hé lộ lý do ô tô dễ bị hack hơn điện thoại: Tới từ chính nhà sản xuất?

Các hãng xe ô tô chỉ chi ra số tiền tương đương 10% những gì mà ngành công nghệ bỏ ra cho các hacker mũ trắng để tìm và loại bỏ các lỗ hổng bảo mật.

Bất chấp những quảng cáo về công nghệ, việc xây dựng cỗ máy “smartphone trên bánh xe” không hề dễ dàng. Đến tận năm 2023, khi phần mềm ngày càng chiếm tỉ trọng lớn trong ô tô, những chiếc xe vẫn phải chịu đựng các lỗ hổng tương tự như máy tính hay điện thoại.

Trong ngành công nghệ có một chương trình săn tiền thưởng khám phá những lỗ hổng an ninh mạng, được gọi là Bug Bounty (chương trình săn lỗi), với sự tham gia của các hacker mũ trắng.

Điều này cũng đã xuất hiện trong ngành công nghiệp ô tô. Nhưng các hãng xe có vẻ vẫn do dự trong việc treo giải.

Các hãng xe phớt lờ an ninh mạng?

Theo Automotive News, ngành công nghiệp ô tô chỉ chi trả tổng cộng 483.809 USD tiền thưởng vào năm ngoái. Đây là mức thấp nhất trong số 8 lĩnh vực mà công ty an ninh mạng HackerOne theo dõi. Trong cùng khoảng thời gian, các công ty Internet đã trả tới 13,1 triệu USD, các nhà mạng trả 4,7 triệu USD, còn cơ quan chính phủ là 703.084 USD.

Theo báo cáo của HackerOne, tiền thưởng săn lỗi trung bình trong ngành ô tô được trả hơn 2.000 USD một chút. Stellantis, hợp tác với công ty an ninh mạng Bugcrowd, trả 150 - 7.500 USD cho mỗi lỗ hổng được phát hiện. Mức thanh toán trung bình là 737,5 USD trong ba tháng qua.

Tuy nhiên, trong lĩnh vực công nghệ, các hacker mũ trắng kiếm được khoảng 5.000 - 40.000 USD cho mỗi lỗ hổng, theo SecurityWeek. Người phát ngôn Ed Fernandez cho biết Google đã từng trả mức giá kỷ lục 605.000 USD cho một phát hiện lỗ hổng năm 2022. Phát ngôn viên Jennifer Foss cho biết kể từ năm 2017, Intel đã trả 4,1 triệu USD cho chương trình săn lỗi.

Cuối năm ngoái, Eaton Zveare, một người có sở thích “vọc”, đã xâm nhập cổng web của Toyota, tiếp cận được khoảng 14.000 tài khoản email, các tài liệu, dự án bí mật, nhà cung cấp, các phản hồi và nhiều thông tin khác. Anh đã báo lại cho Toyota và lỗ hổng nhanh chóng được vá.

Tuy nhiên, vá lỗi nhanh song Toyota lại bị tố khá “keo kiệt” trong việc trả tiền. Zveare thất vọng vì không có tiền thưởng: “Với số tiền họ kiếm được mỗi năm, tôi nghĩ họ nên phân bổ một phần lớn cho các vấn đề bảo mật”.

Ô tô càng hiện đại thì càng “hại điện”?

Với những gì đang diễn ra, ô tô không có khả năng chống cự tốt trước các vụ xâm nhập. Đây là một vấn đề nguy hiểm bởi phần mềm, điều khiển nhiều tác vụ quan trọng, ngày càng chiếm tỉ trọng lớn trong những chiếc xe, không kém gì phần cứng.

Mohammed Ismail, trưởng khoa kỹ thuật điện và máy tính tại Đại học bang Wayne ở Detroit, Mỹ, thừa nhận ngành công nghiệp ô tô tụt hậu so với các ngành khác về an ninh mạng. Ông nói với trang Automotive News: “Đây là tình huống điển hình xảy ra với công nghệ mới. Khi WiFi và Bluetooth ra đời cách đây 25 năm, cũng phải mất nhiều năm để những công nghệ đó trưởng thành”.

Ismail ước tính ngành công nghiệp ô tô cần khoảng 5 năm nghiên cứu và phát triển nữa để sản xuất hàng triệu phương tiện được trang bị phần mềm rất an toàn.

Một thế giới khác trong hậu trường

Tuy nhiên, cũng theo Automotive News, thật khó để “cân đo đong đếm” mức độ quan tâm của các hãng xe với vấn đề bảo mật.

Có hãng xe cởi mở tiết lộ, song hầu hết các nhà sản xuất không mặn mà nói về chương trình săn lỗi hay an ninh mạng. Ford, Jaguar Land Rover, Nissan, Stellantis, Subaru, BMW, Porsche và Volkswagen đều từ chối trả lời phỏng vấn liên quan đến vấn đề này. Honda cho biết họ không có chương trình săn lỗi.

Còn Katja Liesenfeld, giám đốc truyền thông của Mercedes-Benz Cars & Vans, cho biết: “Những khoản tiền trả cho hacker vọc chính sản phẩm của mình đã được chứng minh là cách hiệu quả để tăng cường tính bảo mật. Chúng tôi không thể nói rõ hơn vì đây là vấn đề mật”.

Trong khi đó, Kevin Tierney, giám đốc an ninh mạng của General Motors kiêm phó chủ tịch Trung tâm phân tích và chia sẻ thông tin ô tô (Auto-ISAC), khẳng định, trong hậu trường, hầu hết các nhà sản xuất đã chủ động về các vấn đề an ninh mạng. Họ thường chia sẻ thông tin trong ngành với nhau.

Tierney nói: “Thực tế mọi người đang đổ ra những khoản tiền lớn. Không phải lúc nào người tiêu dùng cuối cũng biết rõ chuyện gì đang diễn ra”.

Một điều an ủi là, dù những khoản chi còn “nhỏ giọt”, hoạt động kinh doanh của HackerOne trong lĩnh vực ô tô đã tăng 400% vào năm 2022 so với một năm trước đó.