Khi Tor Indstøy – một chuyên gia an ninh mạng người Na Uy – cần một chiếc xe lớn hơn cho cả gia đình mình, anh đã tìm mua một chiếc SUV chạy điện của hãng Nio Trung Quốc, chiếc ES8. Không chỉ là một phương tiện cho gia đình, anh còn muốn tìm hiểu xem chiếc xe này thu thập dữ liệu và gửi về Trung Quốc như thế nào.
Cùng với một số người bạn trong ngành, anh lập nên dự án “Project Lion Cage” (Dự án Lồng Sư Tử) để phân tích chi tiết về hoạt động dữ liệu trên chiếc xe này. Được bắt đầu từ tháng 6 năm 2023, đến hiện tại Indstøy và những người bạn của mình đã cập nhật hơn một chục lần về tiến trình của dự án này. Bắt đầu từ tháng trước, Indstøy bắt đầu mở cửa dự án này cho những thành viên khác trong cộng đồng bảo mật cùng tham gia vào.
Cũng tương tự như một cỗ máy tính khổng lồ, những chiếc xe điện sử dụng một lượng lớn chip –thông thường 2.000 hoặc 3.000 chip, nhiều gấp đôi so với xe xăng – để điều khiển và kiểm soát nhiều thành phần trên xe, từ áp suất lốp cho đến điều hướng và quản lý pin – mỗi con chip này đều thu thập dữ liệu.
Nhưng lại rất khó nghiên cứu và thu thập hoạt động dữ liệu của những con chip này khi chúng không hoạt động theo tiêu chuẩn giống như những máy tính PC thông thường – vì vậy các công cụ tiêu chuẩn của ngành an ninh mạng cũng sẽ không hoạt động được với chúng.
Chính vì vậy, các nhà nghiên cứu thường phải tự làm từ dầu, sử dụng các chương trình chuyên dụng để lấy dữ liệu từ từng hệ thống khác nhau của một chiếc xe điện, tìm hiểu cách hoạt động của chúng trong những giao thức bất thường và cách chúng tương tác với nhau như thế nào. Cho dù Indstøy và nhóm của mình không phát hiện được vấn đề nào đặc biệt nghiêm trọng đối với chiếc NIO ES8, họ cũng nhận thấy một số đặc điểm không bình thường trong cách xử lý dữ liệu của chiếc xe này.
Đầu tiên là lượng dữ liệu thu thập vô cùng lớn – lớn hơn nhiều so với những gì tuyên bố trong tài liệu của hãng.
Ngoài ra, đến hơn 90% dữ liệu này được gửi trực tiếp về Trung Quốc – điều này sẽ không có gì lạ nếu hãng NIO không có các trung tâm dữ liệu tại châu Âu. Các dữ liệu được gửi về Trung Quốc bao gồm cả các câu lệnh bằng giọng nói đơn giản cho đến thông tin về vị trí của chiếc xe. Ngoài Trung Quốc, các địa điểm khác nhận được dữ liệu này bao gồm Đức, Mỹ, Hà Lan, Thụy Sĩ và nhiều nơi khác.
Một vấn đề đáng ngại khác là một file không được mã hóa trong số các dữ liệu được tải xuống xe điện. Theo báo cáo của những nhà nghiên cứu có một trang địa chỉ tsp.nio.com là nơi tập trung phần lớn dữ liệu được gửi đi. Nhưng từ site này, một file không mã hóa liên tục được tải xuống xe điện, tuy nhiên họ không tìm hiểu được mục đích của file này là để làm gì.
Bên cạnh đó, các nhà nghiên cứu còn nhận ra rằng chiếc xe cũng liên tục nhận được các yêu cầu truy vấn không mã hóa từ các máy chủ ở Trung Quốc. Một lượng lớn các yêu cầu này được gửi tới hệ thống bản đồ trên xe điện để gửi thông tin về máy chủ ở Trung Quốc.
Một điều đáng chú ý khác là có một camera được gắn trong gương chiếu hậu bên trong chiếc xe. Theo hướng dẫn sử dụng của NIO, camera này là một phần trong hệ thống “phát hiện tài xế buồn ngủ”. Tuy nhiên, với việc thu thập và gửi dữ liệu liên tục về Trung Quốc của chiếc xe này, một hệ thống như vậy có thể gây lo ngại cho người sở hữu chiếc xe.
Indstøy cho biết: “Chúng tôi muốn cho thấy, ý nghĩa thực sự của các vấn đề về bảo mật và rủi ro khi mua một chiếc ô tô Trung Quốc.” Hiện tại, Indstøy cho biết, anh và nhóm của mình sẽ tiếp tục đào sâu hơn vào các thông điệp mã hóa của chiếc xe khi gửi về máy chủ Trung Quốc.
Hiện tại Trung Quốc là thị trường xe điện lớn nhất thế giới, khi 60% trong số 14 xe điện mới đăng ký của năm ngoái đến từ nước này, châu Âu chiếm 25% và Mỹ chỉ 10%. Tuy nhiên, các xe điện Trung Quốc đang trở thành mối lo ngại về bảo mật dữ liệu đối với các chính phủ nước ngoài. Mỹ và Liên minh châu Âu đều đang soạn thảo các quy định mới nhằm hạn chế tối đa sự xuất hiện của xe điện Trung Quốc trên đường phố các quốc gia này, do lo ngại rò rỉ các dữ liệu nhạy cảm.