Lỗ hổng bảo mật trên xe máy điện Zero và xe tay ga Yadea đe dọa an toàn người dùng

Xe máy điện từ Zero Motorcycles và xe tay ga từ Yadea đang bị ảnh hưởng bởi các lỗ hổng bảo mật nghiêm trọng. Nếu bị khai thác, chúng có thể gây ra những hậu quả lớn về an ninh vật lý và an toàn cho người sử dụng.

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) gần đây đã công bố các khuyến cáo riêng biệt về các lỗ hổng này. Khi xu hướng xe điện ngày càng phổ biến, những vấn đề bảo mật trên phương tiện thông minh (IoT) đang trở thành mối quan ngại lớn đối với người dùng.

Lỗ hổng trên xe máy điện Zero Motorcycles

Các nhà nghiên cứu tại Bureau Veritas Cybersecurity đã phát hiện ra rằng xe máy điện của hãng Zero Motorcycles (Mỹ) bị ảnh hưởng bởi một lỗ hổng cho phép kẻ tấn công kết nối với xe qua Bluetooth. Lỗ hổng này, được theo dõi dưới mã CVE-2026-1354, ảnh hưởng đến phiên bản phần mềm (firmware) 44 và các phiên bản cũ hơn.

Xe máy điện

Theo CISA, dù đánh giá mức độ nghiêm trọng ở mức "trung bình" do độ phức tạp của cuộc tấn công cao, kẻ tấn công vẫn có thể truy cập trái phép vào tất cả các chức năng Bluetooth và thậm chí tải lên phần mềm độc hại (malicious firmware) cho xe.

Dinesh Shetty, Giám đốc Kỹ thuật An ninh tại Bureau Veritas, cho biết dù việc thực hiện cuộc tấn công không dễ dàng, nhưng một kẻ tấn công có động cơ và đủ nguồn lực vẫn có thể thực hiện được. Kẻ tấn công cần phải ở gần xe, hiểu quy trình kết nối và duy trì trong phạm vi cho đến khi quá trình tải lên hoàn tất.

Shetty giải thích:

"Xe máy Zero có chế độ kết nối Bluetooth được kích hoạt khi bạn giữ nút Mode khoảng năm giây hoặc nếu xe chưa từng được kết nối trước đó. Trong khoảng thời gian đó, quá trình trao đổi khóa không thực sự xác minh ai đang kết nối. Một kẻ tấn công đứng trong phạm vi Bluetooth có thể can thiệp và kết nối thiết bị của mình với xe, và xe sẽ chấp nhận đó là một kết nối hợp pháp."

Sau khi kết nối thành công, kẻ tấn công có thể sử dụng kênh cập nhật phần mềm để đẩy một bản firmware đã bị sửa đổi lên xe. Điều này cực kỳ nguy hiểm vì bộ vi điều khiển chính của xe điều khiển các tính năng an toàn quan trọng bao gồm mô-men xoắn, phanh tái tạo, tiếp điểm cung cấp điện cho động cơ và quản lý pin.

"Nếu bạn có thể đưa phần mềm của riêng mình lên đó, bạn có thể can thiệp vào bất kỳ thứ nào trong số đó. Hãy tưởng tượng tác động của nó khi xe đang di chuyển với tốc độ cao trên đường cao tốc. Bạn có thể thay đổi cách ga phản hồi, can thiệp vào hành vi phanh hoặc thậm chí thao túng các biện pháp bảo vệ nhiệt của pin."

CISA cho biết nhà sản xuất dự kiến sẽ phát hành bản vá phần mềm vào tháng 5. Trong thời gian chờ đợi, người dùng được khuyên chỉ nên kết nối xe với điện thoại ở một địa điểm an toàn, nơi không có ai khác có thể cố gắng kết nối đồng thời.

Lỗ hổng trên xe tay ga Yadea T5

CISA cũng đã công bố một khuyến cáo khác về một lỗ hổng tiềm năng nghiêm trọng ảnh hưởng đến phương tiện hai bánh khác, đó là xe tay ga T5 của công ty Trung Quốc Yadea.

Lỗ hổng này, được mã hóa CVE-2025-70994 và đánh giá ở mức "nghiêm trọng", là vấn đề xác thực yếu cho phép kẻ tấn công chặn các tín hiệu từ chìa khóa khóa xe (key fob).

Theo Ashen Chathuranga, nhà nghiên cứu phát hiện ra lỗ hổng này, một kẻ tấn công ở gần mục tiêu có thể chặn một lệnh không nhạy cảm — ví dụ như lệnh khóa xe — do chủ sở hữu phát ra. Sử dụng dữ liệu từ lệnh của nạn nhân, kẻ tấn công có thể "tổng hợp toán học" một lệnh khác, bao gồm cả lệnh mở khóa và khởi động, cho phép đánh cắp xe điện.

Việc thực hiện cuộc tấn công không tốn nhiều thời gian. Chathuranga cho biết kẻ tấn công có thể ngay lập tức phát hành lệnh mới và thực hiện cuộc tấn công phát lại (replay attack) sau khi bắt được lệnh từ nạn nhân.

Hiện tại, cả CISA và nhà nghiên cứu đều cho biết Yadea vẫn chưa phát hành bản vá cho lỗ hổng này.