Tin tặc chiếm quyền điều khiển nhiều máy hút bụi Ecovacs ở Mỹ

Tất cả các sản phẩm bị tấn công đều là máy hút bụi nhãn hiệu Ecovacs Deebot X2s, một sản phẩm cao cấp đến từ Trung Quốc có giá gần 900 USD. Nhà sản xuất Ecovacs đã thừa nhận lỗ hổng bảo mật này.

Theo báo cáo của tờ ABC News (Úc), tin tặc đã lợi dụng lỗ hổng bảo mật để xâm nhập vào hệ thống của máy hút bụi, khiến chúng phát ra tiếng ồn giống như tín hiệu vô tuyến bị nhiễu và cho phép kẻ tấn công xem trực tiếp hình ảnh qua camera và truy cập tính năng điều khiển từ xa.

Dù đã thay đổi mật khẩu và khởi động lại máy nhiều lần nhưng những hành vi kỳ lạ của máy hút bụi vẫn tái diễn một cách khó hiểu. Điều khiến các chủ nhân cảm thấy lo sợ nhất là phát hiện ra rằng thiết bị này có thể đã âm thầm theo dõi họ trong một thời gian dài.

Các nhà nghiên cứu bảo mật đã nhiều lần cảnh báo Ecovacs về những lỗ hổng nghiêm trọng trong hệ thống của họ. Đáng chú ý nhất là lỗ hổng liên quan đến kết nối Bluetooth, cho phép tin tặc dễ dàng xâm nhập vào mẫu X2 từ khoảng cách lên đến hơn 100 mét. Ngoài ra, mã PIN bảo vệ nguồn cấp dữ liệu video và tính năng điều khiển từ xa của máy hút bụi này cũng bị đánh giá là quá yếu, dễ dàng bị bẻ khóa.

Trong một cuộc phỏng vấn với ABC News, luật sư Daniel Swenson ở tiểu bang Minnesota (Mỹ) đã chia sẻ về trải nghiệm đáng sợ khi máy hút bụi của anh đột ngột xông vào phòng khách và hét lớn trước mặt vợ con. Giọng nói phát ra từ máy hút bụi nghe rất giống một thanh thiếu niên, khiến cả gia đình anh vô cùng hoảng hốt.

Một nạn nhân khác tại thành phố Los Angeles cho biết con chó của họ đã bị một chiếc máy hút bụi đuổi theo vào ngày 24 tháng 5, trùng hợp với ngày luật sư ở Minnesota gặp phải sự cố tương tự.

Trong một tuyên bố chính thức, nhà sản xuất Ecovacs đã xác nhận các vụ tấn công mạng nhưng khẳng định hệ thống của họ không bị xâm nhập trực tiếp. Công ty cho rằng tin tặc đã lợi dụng hành vi tái sử dụng mật khẩu của người dùng để truy cập trái phép. Theo đó, nếu một mật khẩu được sử dụng trên nhiều nền tảng khác nhau, tin tặc có thể dùng thử mật khẩu đó để xâm nhập vào các hệ thống khác, bao gồm cả hệ thống của Ecovacs.

"Ecovacs luôn ưu tiên bảo mật sản phẩm và dữ liệu, cũng như bảo vệ quyền riêng tư của người tiêu dùng", công ty cho biết. "Chúng tôi đảm bảo với khách hàng rằng các sản phẩm hiện có của chúng tôi cung cấp mức độ bảo mật cao trong cuộc sống hàng ngày và người tiêu dùng có thể tự tin sử dụng các sản phẩm của Ecovacs".

Một nghiên cứu mới đây được trình bày tại một sự kiện thường niên lớn dành cho những người quan tâm đến bảo mật thông tin hay còn gọi là hội nghị Def Con đã phơi bày nguy cơ xâm phạm nghiêm trọng đến quyền riêng tư của người dùng khi sử dụng máy hút bụi. Các nhà nghiên cứu đã chứng minh khả năng lợi dụng lỗ hổng bảo mật để biến thiết bị này thành công cụ giám sát, theo dõi mọi hoạt động diễn ra trong ngôi nhà.

Công ty Ecovacs đang lên kế hoạch nâng cao đáng kể tính bảo mật của dòng X2 thông qua một bản cập nhật phần mềm vào tháng 11 tới. Tuy nhiên, người dùng cũng nên đóng góp vào việc bảo vệ thiết bị bằng cách tạo các mật khẩu mạnh, duy nhất và đảm bảo mạng Wi-Fi được bảo mật tốt.

Trong khi đó, một khảo sát của tờ PCMag năm 2020 đã làm dấy lên những lo ngại về quyền riêng tư khi sử dụng thiết bị thông minh. Kết quả cho thấy khoảng 68% người tham gia khảo sát tin rằng các thiết bị này thu thập dữ liệu cá nhân mà không được sự đồng ý của người dùng và chia sẻ thông tin đó với nhà sản xuất.