Tám với Ai
New member
Vụ tấn công vào ứng dụng My Volkswagen cho thấy rủi ro lớn với hàng triệu xe có kết nối. Các nhà sản xuất cần áp dụng thiết kế an toàn và giải pháp bảo mật tự động để ngăn kẽ hở trước khi tội phạm khai thác.
Năm ngoái, nhà nghiên cứu an ninh mạng Vishal Bhaskar phát hiện nhiều lỗ hổng trong ứng dụng My Volkswagen, dùng tấn công brute force vào cơ chế OTP để truy cập dữ liệu cá nhân và thông tin xe. Anh còn khai thác mã VIN để lấy lịch sử dịch vụ, khiếu nại khách hàng và thông tin nhạy cảm khác. Các lỗ hổng được báo và vá vào tháng 5/2025, nhưng bài học thì vẫn còn nguyên giá trị.
Trong thập kỷ qua, các hãng xe ngày càng tích hợp nhiều dịch vụ dữ liệu và tính năng tự động lên xe, và giờ đây còn bắt đầu lấn sang AI. Theo Statista, đến 2030 khoảng 96% xe mới sẽ có kết nối tích hợp sẵn. Các quan hệ đối tác như giữa Hyundai và Samsung cho thấy điện thoại, nền tảng IoT và hệ thống giải trí trên xe có thể liên kết chặt chẽ, làm tăng bề mặt tấn công.
Các sự cố bảo mật tên tuổi, như lỗi trên cổng web của Subaru cho phép kẻ tấn công khởi động và theo dõi vị trí xe, cho thấy nguy cơ rất thực. Khi lượng dữ liệu truyền từ và tới xe nhiều, thực hành bảo mật kém có thể dẫn đến rò rỉ dữ liệu mà không cần hành động trực tiếp từ hacker — và có thể kéo theo phạt vi phạm quy định.
Những kẻ tấn công thường nhắm tới hệ thống backend bằng ransomware, lợi dụng bất kỳ đầu mối hay lỗ hổng nào để xâm nhập và khóa các dịch vụ kết nối cho hàng trăm nghìn xe. Vì vậy nhà sản xuất (OEM) và nhà cung cấp phải chủ động bảo vệ ngay từ giai đoạn thiết kế.
OEM cần áp dụng chiến lược secure-by-design từ khi sản xuất đến khi xe bị thanh lý, phối hợp chặt chẽ với nhà cung cấp và chuyên gia bảo mật thiết bị. Một phần quan trọng của chiến lược này là vận hành hệ thống quản lý khóa (KMS) do OEM điều hành.
Khi xe càng thông minh và kết nối nhiều hơn, việc tin tưởng vào các biện pháp thủ công không còn đủ. Các OEM phải đầu tư vào thiết kế an toàn từ đầu, quản lý khóa tập trung và cơ chế bảo mật tự động để ngăn ngừa rò rỉ dữ liệu, ngăn chặn ransomware và bảo đảm an toàn cho chủ xe trong kỷ nguyên phương tiện kết nối.
Nguồn: https://www.techradar.com/pro/why-millions-of-connected-vehicles-need-automated-cyber-security
Vụ tấn công My Volkswagen đã gióng hồi chuông
Năm ngoái, nhà nghiên cứu an ninh mạng Vishal Bhaskar phát hiện nhiều lỗ hổng trong ứng dụng My Volkswagen, dùng tấn công brute force vào cơ chế OTP để truy cập dữ liệu cá nhân và thông tin xe. Anh còn khai thác mã VIN để lấy lịch sử dịch vụ, khiếu nại khách hàng và thông tin nhạy cảm khác. Các lỗ hổng được báo và vá vào tháng 5/2025, nhưng bài học thì vẫn còn nguyên giá trị.
Kết nối nhiều hơn, rủi ro lớn hơn
Trong thập kỷ qua, các hãng xe ngày càng tích hợp nhiều dịch vụ dữ liệu và tính năng tự động lên xe, và giờ đây còn bắt đầu lấn sang AI. Theo Statista, đến 2030 khoảng 96% xe mới sẽ có kết nối tích hợp sẵn. Các quan hệ đối tác như giữa Hyundai và Samsung cho thấy điện thoại, nền tảng IoT và hệ thống giải trí trên xe có thể liên kết chặt chẽ, làm tăng bề mặt tấn công.
Những sự cố nổi bật và hậu quả
Các sự cố bảo mật tên tuổi, như lỗi trên cổng web của Subaru cho phép kẻ tấn công khởi động và theo dõi vị trí xe, cho thấy nguy cơ rất thực. Khi lượng dữ liệu truyền từ và tới xe nhiều, thực hành bảo mật kém có thể dẫn đến rò rỉ dữ liệu mà không cần hành động trực tiếp từ hacker — và có thể kéo theo phạt vi phạm quy định.
Tội phạm sẽ nhắm vào hệ thống hậu cần
Những kẻ tấn công thường nhắm tới hệ thống backend bằng ransomware, lợi dụng bất kỳ đầu mối hay lỗ hổng nào để xâm nhập và khóa các dịch vụ kết nối cho hàng trăm nghìn xe. Vì vậy nhà sản xuất (OEM) và nhà cung cấp phải chủ động bảo vệ ngay từ giai đoạn thiết kế.
Giải pháp: bảo mật theo thiết kế và quản lý khóa tập trung
OEM cần áp dụng chiến lược secure-by-design từ khi sản xuất đến khi xe bị thanh lý, phối hợp chặt chẽ với nhà cung cấp và chuyên gia bảo mật thiết bị. Một phần quan trọng của chiến lược này là vận hành hệ thống quản lý khóa (KMS) do OEM điều hành.
- Quản lý tập trung khóa mật mã và chính sách cho các ECU, TCU và thiết bị của nhà cung cấp giúp giảm phân mảnh và tăng tốc việc thu hồi khóa khi cần.
- KMS do OEM điều hành biến chính sách thành thực thi, quản lý chứng chỉ mà mọi radio và dịch vụ trên xe phụ thuộc vào.
- Giải pháp tự động, theo dõi liên tục và phản ứng kịp thời trước các mối đe dọa là cần thiết để bảo vệ quy mô hàng triệu xe.
Kết luận
Khi xe càng thông minh và kết nối nhiều hơn, việc tin tưởng vào các biện pháp thủ công không còn đủ. Các OEM phải đầu tư vào thiết kế an toàn từ đầu, quản lý khóa tập trung và cơ chế bảo mật tự động để ngăn ngừa rò rỉ dữ liệu, ngăn chặn ransomware và bảo đảm an toàn cho chủ xe trong kỷ nguyên phương tiện kết nối.
Nguồn: https://www.techradar.com/pro/why-millions-of-connected-vehicles-need-automated-cyber-security
Bài viết liên quan
