Phát hiện lỗ hổng bảo mật trong chuông cửa thông minh khiến hàng triệu người dùng có nguy cơ bị tấn công mạng
(Baonghean.vn) - Báo cáo của Consumer Reports cho biết, họ đã phát hiện các lỗ hổng bảo mật trong các chuông cửa thông minh, cho phép tin tặc truy cập trái phép, đánh cắp cảnh quay và gây ra rủi ro về quyền riêng tư cho người dùng.
Thị trường chuông cửa thông minh tích hợp camera ngày càng phát triển với rất nhiều thương hiệu, thiết bị, phiên bản và nhà bán lẻ, khiến người mua khó khăn trong việc tìm kiếm sản phẩm an toàn và đáng tin cậy.
Đặc biệt, theo báo cáo của Consumer Reports, các thiết bị này còn thiếu các biện pháp kiểm soát truy cập cơ bản trong lưu lượng mạng, điều này cho phép người lạ tự do truy cập vào các video riêng tư của người dùng.
Những phát hiện từ Consumer Reports?
Theo điều tra của Consumer Reports, các lỗ hổng bảo mật nguy hiểm đã được tìm thấy trong chuông cửa thông minh tích hợp camera, có khả năng cho phép kẻ tấn công truy cập trái phép vào cảnh quay video, kiểm soát chức năng chuông cửa hoặc thậm chí đánh cắp thông tin cá nhân.
Mọi chuyện bắt đầu khi một nhà báo của Consumer Reports nhận được email chứa hình ảnh của chính mình đang vẫy tay trước camera chuông cửa. Thực chất, những hình ảnh này được Steve Blair, kỹ sư kiểm tra quyền riêng tư và bảo mật của Consumer Reports gửi đi sau khi xâm nhập thành công vào chuông cửa từ khoảng cách 2.923 dặm.
Blair và kỹ sư thử nghiệm đồng nghiệp Della Rocca đã tiến hành tìm hiểu sâu hơn và phát hiện ra các lỗ hổng bảo mật trong các thiết bị điện tử giá rẻ, không an toàn đến từ các nhà sản xuất Trung Quốc được bán trên các sàn thương mại điện tử như Amazon, Walmart, Sears và Shein.
Các chuông cửa này không có mã số nhận dạng duy nhất được cấp cho mỗi thiết bị điện tử (ID) do Ủy ban Truyền thông Liên bang Mỹ (FCC) cấp, khiến chúng trở thành bất hợp pháp để phân phối ở Mỹ. FCC sử dụng ID để theo dõi các thiết bị được bán trên thị trường Mỹ và đảm bảo rằng chúng đáp ứng các tiêu chuẩn an toàn và bảo mật.
Việc thiếu ID do FCC cấp trên các chuông cửa thông minh là một vấn đề nghiêm trọng vì nó có nghĩa là các thiết bị này có thể không đáp ứng các tiêu chuẩn an toàn và bảo mật. Điều này có thể khiến người dùng gặp rủi ro bị tấn công mạng hoặc bị đánh cắp thông tin cá nhân.
Các nhà nghiên cứu đã phát hiện ra các vấn đề bảo mật trong ít nhất 10 thiết bị chuông cửa thông minh tích hợp camera được bán dưới các thương hiệu Eken và Tuck của Trung Quốc và tất cả các chuông cửa được phân tích đều được điều khiển thông qua ứng dụng di động Aiwit thuộc sở hữu của Eken. Bên cạnh đó, 2 sản phẩm đến từ các thương hiệu khác của Trung Quốc là Fishbot và Rakeblue cũng chứa các lỗ hổng bảo mật tương tự.
Eken và Tuck là những thương hiệu chuông cửa thông minh có lượng sản phẩm bán ra khá mạnh, với nhiều lượt đăng ký trên Amazon, tạo ra hơn 4.200 lượt bán chỉ riêng trong tháng 1 năm 2024. Các chuông cửa này cũng có sẵn trên Walmart.com, sears.com và các sàn thương mại toàn cầu Shein và Temu dưới các tên khác nhau như Andoe, Gemee và Luckwolf.
Hàng nghìn chuông cửa thông minh này được bán mỗi tháng trên Amazon và các sàn thương mại điện tử khác, bao gồm Walmart, Sears và các sàn thương mại điện tử phổ biến toàn cầu như Shein và Temu. Các chuyên gia bảo mật cho rằng, chúng chỉ là một giọt nước trong làn sóng các thiết bị điện tử rẻ tiền, không an toàn đến từ các nhà sản xuất Trung Quốc đang được bán ở các thị trường khác nhau trên thế giới.
Những nguy hiểm tiềm tàng
Bất kỳ ai có quyền truy cập vật lý vào chuông cửa đều có thể chiếm quyền điều khiển thiết bị mà không cần các công cụ chuyên dụng hay kỹ năng tấn công mạng cao siêu. Họ chỉ cần tải xuống ứng dụng và ghép nối thiết bị với điện thoại của mình để xem nguồn cấp dữ liệu video của camera vô thời hạn.
Kẻ xâm nhập có thể điều khiển chuông cửa để theo dõi hoạt động của các thành viên trong gia đình, đồng thời tiết lộ địa chỉ IP và tên mạng Wi-Fi không được mã hóa. Hệ thống bảo mật kém trên các máy chủ của công ty lưu trữ video có thể làm tăng thêm các mối đe doạ.
Ứng dụng điện thoại thông minh Aiwit của Eken có thể ghép nối chuông cửa với các điểm truy cập WiFi, cho phép mọi người truy cập nguồn cấp video mà không cần mật khẩu hoặc tài khoản. Kẻ theo dõi có thể xác định số sê-ri của thiết bị và truy cập vào các hình ảnh tĩnh từ nguồn cấp video ngay cả khi chủ sở hữu ban đầu lấy lại quyền kiểm soát thiết bị.
Justin Brookman, Giám đốc chính sách công nghệ của Consumer Reports cho rằng, các nền tảng thương mại điện tử, đặc biệt là những tên tuổi lớn như Amazon, nên chịu trách nhiệm về tác hại do sản phẩm của họ gây ra. Eken, Tuck, Amazon, Walmart, Sears, Shein, Temu và FCC cũng đã được Consumer Reports thông báo về các vấn đề này.
Sau khi nhận được thông báo từ Consumer Reports, sàn thương mại điện tử Temu của Trung Quốc đã xóa tất cả thiết bị chuông cửa sử dụng ứng dụng Aiwit và do Eken sản xuất khỏi trang web của mình. Bên cạnh đó, Walmart cho biết các mặt hàng không đáp ứng các tiêu chuẩn về an toàn, độ tin cậy và quy định sẽ bị xóa và chặn khỏi sàn thương mại điện tử này. Trong khi đó, các sàn thương mại điện tử khác như Amazon, Sears và Shein vẫn chưa có thông tin phản hồi chính thức về vấn đề trên.
Làm thế nào để bảo mật camera chuông cửa của bạn?
Nếu bạn sở hữu một trong những chuông cửa này, Consumer Reports khuyên bạn nên ngắt kết nối nó khỏi Wi-Fi tại nhà và tháo nó ra khỏi cửa nhà bạn. Consumer Reports đã đánh giá chuông cửa thông minh có khả năng bảo mật tốt hơn nhiều từ các thương hiệu bao gồm Logitech, SimpliSafe và Ring.
Mặc dù, việc bảo mật 100% là vấn đề cực kỳ khó khăn nhưng đây là một số bước bạn có thể thực hiện để đảm bảo chuông cửa của mình được bảo vệ khỏi tin tặc và hoạt động gián điệp của bên thứ ba:
Chọn thương hiệu uy tín
Tránh sử dụng các loại chuông cửa thông minh giá rẻ hoặc không có thương hiệu, đặc biệt là chuông cửa của các nhà sản xuất không quen thuộc.
Hãy tìm các thiết bị đến từ các các thương hiệu nổi tiếng, có lịch sử ưu tiên bảo mật cao.
Kiểm tra các tính năng bảo mật
Đảm bảo chuông cửa của bạn sử dụng mã hóa mạnh để truyền và lưu trữ video.
Tìm kiếm các tính năng như xác thực hai yếu tố (2FA) để đăng nhập và cảnh báo hoạt động.
Bảo mật mạng Wi-Fi của bạn
Sử dụng mật khẩu mạnh cho mạng Wi-Fi của bạn và bật giao thức mã hóa (WPA2 hoặc WPA3).
Hãy cân nhắc tạo một mạng khách riêng biệt cho các thiết bị như chuông cửa, tách biệt hoàn toàn với mạng chính chứa dữ liệu nhạy cảm của bạn.
Quản lý quyền ứng dụng
Chỉ cấp cho ứng dụng chuông cửa những quyền tối thiểu cần thiết, chẳng hạn như quyền truy cập vào camera và micrô.
Tránh các ứng dụng từ các nhà phát triển không xác định và sử dụng các ứng dụng chính thức từ nhà sản xuất.
Luôn cập nhật phần mềm firmware
Thường xuyên cập nhật phần mềm firmware của chuông cửa để đảm bảo bạn có các bản vá bảo mật và sửa lỗi mới nhất.
Bật cập nhật tự động nếu có để luôn được bảo vệ.
Giám sát hoạt động
Hãy để ý xem ai có quyền truy cập vào chuông cửa của bạn và theo dõi nhật ký hoạt động.
Tìm kiếm bất kỳ nỗ lực đăng nhập đáng ngờ hoặc hoạt động bất thường nào.
Xem xét cài đặt quyền riêng tư
Điều chỉnh cài đặt quyền riêng tư của chuông cửa để kiểm soát khu vực nào được ghi và thời lượng đoạn phim được lưu trữ.
Tắt các tính năng bạn không cần, như phát hiện chuyển động ở khu vực công cộng.
Tìm kiếm các mã số nhận dạng sản phẩm hiển thị trên chuông cửa của bạn. Các thiết bị không có mã nhận dạng này có thể là bất hợp pháp và thiếu các biện pháp bảo mật thích hợp.
Đảm bảo chuông cửa của bạn an toàn về mặt vật lý và không thể dễ dàng bị giả mạo.