Hai hãng xe máy điện nổi tiếng dính lỗ hổng bảo mật: Chỉ một tín hiệu giả có thể khiến xe bị kiểm soát từ xa

Trong nhiều năm qua, khái niệm “xe thông minh” đã dần trở nên quen thuộc. Không chỉ ô tô, các mẫu mô tô và xe tay ga điện hiện đại cũng được tích hợp hàng loạt công nghệ kết nối như Bluetooth, WiFi, ứng dụng điều khiển từ xa, định vị GPS hay cập nhật phần mềm qua mạng. Những tính năng này mang lại trải nghiệm tiện lợi hơn cho người dùng, nhưng đồng thời cũng biến phương tiện giao thông thành mục tiêu tiềm năng của giới tội phạm mạng.

Mới đây, hai báo cáo lỗ hổng bảo mật được gửi tới Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đã gây chú ý lớn trong ngành công nghiệp xe điện. Các báo cáo này liên quan tới Zero Motorcycles, thương hiệu mô tô điện nổi tiếng của Mỹ, cùng Yadea, một trong những nhà sản xuất xe điện lớn nhất Trung Quốc.

Theo thông tin từ SC Media, ngày 21/4/2026, nhà nghiên cứu bảo mật Persephone Karnstein thuộc Bureau Veritas Cybersecurity North America đã công bố một lỗ hổng tồn tại trên các mẫu xe Zero Motorcycles sử dụng firmware phiên bản 44 trở về trước.

Lỗ hổng này cho phép kẻ xấu có thể ép buộc ghép nối thiết bị với xe thông qua Bluetooth trong một số điều kiện nhất định. Nếu thành công, hacker có khả năng tải firmware độc hại lên phương tiện.

Dù vậy, để khai thác được lỗ hổng này không phải điều quá đơn giản. Trước tiên, chiếc xe phải đang ở chế độ ghép nối Bluetooth. Ngoài ra, thiết bị của kẻ tấn công cũng phải ở khoảng cách đủ gần và duy trì kết nối trong suốt quá trình tải firmware lên xe.

Tuy nhiên, ngay cả khi điều kiện khai thác khá hạn chế, thông tin này vẫn khiến nhiều người dùng cảm thấy bất an. Khác với điện thoại hay máy tính, một chiếc mô tô bị can thiệp phần mềm có thể gây ra hậu quả nghiêm trọng hơn nhiều bởi nó liên quan trực tiếp tới an toàn vận hành và tính mạng người lái.

Chỉ hai ngày sau, ngày 23/4/2026, một báo cáo khác tiếp tục được gửi tới CISA, lần này liên quan tới mẫu xe điện Yadea T5.

Các nhà nghiên cứu cho biết hệ thống khóa điện tử RF trên mẫu xe này tồn tại điểm yếu trong giao thức mã hóa tín hiệu. Điều này cho phép kẻ xấu thực hiện kiểu tấn công “replay attack”.

Hiểu đơn giản, hacker có thể ghi lại tín hiệu hợp lệ phát ra từ chìa khóa điện tử của chủ xe, sau đó phát lại tín hiệu đó để đánh lừa hệ thống và mở khóa xe trái phép.

Đây là dạng tấn công từng xuất hiện trên nhiều mẫu ô tô thông minh trước đây, nhưng việc nó xuất hiện trên xe máy điện phổ thông cho thấy các nguy cơ an ninh mạng đang lan rộng sang cả phân khúc phương tiện hai bánh.

Câu chuyện này cũng mở ra nhiều tranh luận về xu hướng “kết nối hóa” phương tiện giao thông hiện đại. Trong vài năm trở lại đây, hàng loạt hãng xe điện đã chạy đua tích hợp ứng dụng di động, chìa khóa thông minh, cập nhật OTA hay khả năng điều khiển từ xa nhằm tạo khác biệt trên thị trường.

Tại Việt Nam, xu hướng này cũng phát triển rất nhanh. Nhiều mẫu xe máy điện hiện nay cho phép người dùng theo dõi vị trí xe, kiểm tra pin, khóa/mở xe bằng smartphone hoặc kích hoạt chống trộm thông qua ứng dụng riêng.

Các thương hiệu xe máy điện tồn tại ở thị trường Việt cũng đều đang thúc đẩy hệ sinh thái xe điện thông minh. Trong đó, Yadea là cái tên khá phổ biến ở phân khúc xe điện phổ thông dành cho học sinh, sinh viên và người dùng đô thị.

Điều này khiến vấn đề bảo mật trở nên đặc biệt quan trọng với thị trường Việt Nam, nơi xe máy vẫn là phương tiện di chuyển chủ đạo.

Giới chuyên gia cho rằng nhiều người dùng hiện vẫn chưa thực sự quan tâm tới khía cạnh an ninh mạng trên phương tiện giao thông. Không ít chủ xe giữ nguyên mật khẩu mặc định của ứng dụng, không cập nhật firmware thường xuyên hoặc vô tình để xe ở chế độ ghép nối Bluetooth trong thời gian dài.

Trong bối cảnh xe điện ngày càng phụ thuộc vào phần mềm, việc cập nhật bảo mật định kỳ sẽ trở thành yếu tố quan trọng không kém bảo dưỡng cơ khí truyền thống.

Ngoài ra, nhiều chuyên gia cũng cảnh báo rằng các hãng xe điện, đặc biệt là các thương hiệu mới nổi, đôi khi tập trung quá nhiều vào việc bổ sung tính năng mà chưa đầu tư tương xứng cho hệ thống an ninh mạng.

Đây là vấn đề từng xảy ra trong ngành thiết bị IoT trước đây, khi hàng loạt camera thông minh, robot hút bụi hay khóa cửa điện tử bị phát hiện tồn tại lỗ hổng nghiêm trọng.

Với xe điện, hậu quả có thể lớn hơn rất nhiều. Một chiếc xe bị truy cập trái phép không chỉ đối mặt nguy cơ mất cắp dữ liệu hay tài khoản, mà còn có khả năng bị can thiệp trực tiếp vào hệ thống vận hành.

Dù hiện chưa ghi nhận trường hợp thực tế nào liên quan tới việc khai thác các lỗ hổng trên để gây tai nạn hoặc chiếm quyền điều khiển xe, nhưng sự việc lần này vẫn là hồi chuông cảnh báo đối với toàn ngành công nghiệp xe điện toàn cầu.