Chuông cửa thông minh và sự cố bảo mật nghiêm trọng

Matt Lewis đến từ NCC Group, công ty an toàn thông tin có trụ sở chính tại Manchester, Vương quốc Anh, đã tiết lộ một loạt các vấn đề về bảo mật và quyền riêng tư được tìm thấy trong nhiều sản phẩm chuông cửa thông minh (smart doorbells) đang được bày bán trên Amazon và eBay.

Các nhà nghiên cứu đã phát hiện ra những vấn đề nghiêm trọng về bảo mật và quyền riêng tư trong 11 loại chuông cửa thông minh khác nhau, đang được phân phối qua các trang trực tuyến như Amazon và eBay, có thể bị kẻ xấu lợi dụng để tắt các thiết bị.

Chuông cửa thông minh, kết nối với điện thoại thông minh giúp cảnh báo cho người dùng khi ai đó đến gần nhà họ và ghi video, ngày càng phổ biến trong những năm qua.

Matt Lewis, Giám đốc Nghiên cứu tại NCC Group cho biết: "Những chuông cửa thông minh này bị phát hiện có một loạt vấn đề, bao gồm chính sách mật khẩu yếu, thiếu mã hóa dữ liệu và thu thập quá nhiều thông tin người dùng".

 

Lewis nhấn mạnh: "Phát hiện của chúng tôi cho thấy số đông người dùng ủng hộ các lối tắt đối với bảo mật trong quá trình sản xuất. Tuy nhiên, chúng tôi hy vọng rằng luật IoT đang được mong đợi sẽ báo hiệu một thời điểm quan trọng trong bảo mật IoT. Nhưng cho đến khi điều này thành hiện thực, chúng ta phải tiếp tục làm việc cùng nhau để nêu bật sự cần thiết của bảo mật cơ bản theo các nguyên tắc tiêu chuẩn, đồng thời cảnh báo người tiêu dùng về những rủi ro và những gì họ có thể làm để bảo vệ chính mình".

Các nhà nghiên cứu đã xem xét chuông cửa thông minh từ Victure (camera chuông cửa video thông minh với giá 90 Euro), Qihoo 360 (chuông cửa video thông minh 360 D819, với giá 87 Euro), và Accfly (chuông cửa video không dây với giá 51 Euro) v.v..

Các vấn đề về bảo mật

Các nhà nghiên cứu đã tìm thấy một loạt vấn đề với các sản phẩm này. Hai trong số các thiết bị được thử nghiệm là Victure và Ctronics có lỗ hổng nghiêm trọng có thể cho phép tội phạm mạng đánh cắp mật khẩu mạng. Các lỗ hổng này cũng sẽ cho phép tội phạm mạng tấn công không chỉ chuông cửa và bộ định tuyến, mà còn bất kỳ thiết bị thông minh nào khác trong nhà như máy điều hòa nhiệt độ, máy ảnh hoặc thậm chí có thể là máy tính xách tay.

Chuông cửa thông minh Victure cũng được phát hiện gửi tên và mật khẩu Wi-Fi của khách hàng không được mã hóa đến máy chủ ở Trung Quốc.

Lewis cho biết: "Nếu bị đánh cắp, dữ liệu này có thể cho phép tin tặc truy cập vào Wi-Fi tại nhà của mọi người - cho phép tin tặc nhắm mục tiêu dữ liệu cá nhân của họ và bất kỳ thiết bị thông minh nào khác mà họ sở hữu.

Các nhà nghiên cứu cho biết, một số lượng lớn chuông cửa được thử nghiệm cũng sử dụng mật khẩu yếu, mặc định và dễ đoán.

Lewis cho biết: "Người tiêu dùng ít ý thức về bảo mật hơn, họ thường để mật khẩu mặc định, không thay đổi trên thiết bị, điều này có khả năng làm lộ mật khẩu cho tin tặc".

Các nhà nghiên cứu phát hiện ra rằng một thiết bị khác, được mua từ eBay và Amazon mà không có bất kỳ thương hiệu rõ ràng nào rất dễ bị khai thác bởi KRACK. Cuộc tấn công KRACK, hay còn gọi là cuộc tấn công cài đặt lại khóa, được phát hiện vào năm 2017. Cách tiếp cận KRACK là một vấn đề toàn ngành trong giao thức WPA và WPA2 để bảo mật Wi-Fi có thể gây mất quyền kiểm soát hoàn toàn đối với dữ liệu.

Các nhà nghiên cứu cho biết, đối với chuông cửa thông minh, lỗ hổng này có thể cho phép kẻ tấn công phá vỡ bảo mật WPA-2 trên Wi-Fi gia đình và cuối cùng giành được quyền truy cập vào mạng của họ. Cuối cùng, các nhà nghiên cứu cho biết, chuông cửa thông minh Qihoo 360, được bán trên Amazon rất dễ bị đánh cắp. Tội phạm có thể chỉ cần tách nó ra khỏi tường bằng công cụ tháo thẻ SIM tiêu chuẩn (đi kèm với các smartphone). Sau đó nó có thể được cài đặt lại và mang bán.

Tiết lộ

Các nhà nghiên cứu đã cố gắng liên hệ với tất cả các nhà sản xuất của 11 chiếc chuông cửa thông minh được thử nghiệm, và họ chỉ có thể tìm thấy thông tin chi tiết về Accfly và Victure, nhưng những đơn vị này đã không phản hồi thông tin của nhóm nghiên cứu. Thay vào đó, các nhà nghiên cứu đã liên hệ với eBay và Amazon, nơi họ mua chuông cửa. Về phần mình, Amazon đã xóa ít nhất 7 sản phẩm sau khi nghiên cứu nói trên được trình bày với trang bán hàng trực tuyến này.

Amazon cho biết trong một tuyên bố: "Chúng tôi yêu cầu tất cả các sản phẩm được cung cấp trong cửa hàng của chúng tôi phải tuân thủ luật và quy định hiện hành và Amazon đã phát triển các công cụ hàng đầu trong ngành để ngăn chặn các sản phẩm không an toàn hoặc không tuân thủ được niêm yết trong các cửa hàng của chúng tôi".

Về phần mình, eBay cho biết họ đang tiếp tục hỗ trợ các cuộc thảo luận với những người bán mặt hàng chuông cửa thông minh để có thể giải quyết những băn khoăn của nhóm nghiên cứu.

"Khi một sản phẩm được liệt kê vi phạm các tiêu chuẩn an toàn của chúng tôi, chúng tôi sẽ xóa danh sách đó ngay lập tức", eBay cho biết trong một tuyên bố. "Những danh sách này không vi phạm các tiêu chuẩn an toàn của chúng tôi nhưng các vấn đề kỹ thuật của sản phẩm cần được giải quyết với người bán hoặc nhà sản xuất".

Lewis nhấn mạnh, người tiêu dùng có thể an tâm bằng cách tránh xa các thương hiệu không rõ nguồn gốc, thay vào đó mua hàng của các thương hiệu có uy tín. Ngoài ra, các nhà nghiên cứu cho biết, người tiêu dùng nên kiểm tra mật khẩu khi thiết lập thiết bị mới, kiểm tra cài đặt để đảm bảo rằng tất cả các bản cập nhật chạy tự động và bật xác thực hai yếu tố (2FA) nếu có trên thiết bị.