Phát hiện lỗ hổng bảo mật nghiêm trọng trong chuông cửa video Trung Quốc

Cuộc sống số - Ngày đăng : 10:25, 03/03/2024

Một số chuông cửa video thông minh tồn tại lỗ hổng bảo mật cho phép tin tặc chiếm quyền kiểm soát camera chỉ bằng cách bấm giữ một nút.

Tổ chức phi lợi nhuận Consumer Reports vừa công bố báo cáo chi tiết 4 lỗ hổng bảo mật và quyền riêng tư trong các chuông cửa video mang nhãn hiệu EKEN, Tuck, Fishbot, Rakeblue… do EKEN – công ty có trụ sở tại Trung Quốc – sản xuất.

Với giá tương đối rẻ, chúng có mặt trên các chợ điện tử như Walmart, Temu. Dù vậy, sau khi Consumer Reports liên hệ để cảnh báo lỗ hổng, họ đã gỡ bỏ các sản phẩm nói trên ra khỏi sàn. Khách hàng vẫn có thể mua chúng ở nơi khác.

2le62thh.png
Chuông cửa do công ty Trung Quốc EKEN sản xuất chứa lỗ hổng bảo mật nghiêm trọng. (Ảnh minh họa: Shutterstock)

Theo Consumer Reports, vấn đề nghiêm trọng nhất là nếu ai đó ở gần chuông cửa video EKEN, họ có thể "kiểm soát hoàn toàn" nó bằng cách tải xuống ứng dụng chính thức Aiwit rồi đặt camera ở chế độ ghép nối bằng cách giữ nút chuông cửa trong 8 giây. Ứng dụng của Aiwit có hơn 1 triệu lượt tải xuống trên Google Play, cho thấy được sử dụng rộng rãi.

Tại thời điểm đó, kẻ xấu có thể tạo tài khoản của riêng trên ứng dụng và quét mã QR do ứng dụng tạo ra bằng cách đặt nó trước camera của chuông cửa. Quá trình này cho phép chúng thêm chuông cửa vào tài khoản của mình và "giành quyền kiểm soát thiết bị vốn ban đầu đã liên kết với tài khoản của chủ nhà", theo Consumer Reports. Tuy nhiên, khi quá trình thiết lập kết thúc, chủ sở hữu chuông cửa video sẽ nhận được email cảnh báo "thiết bị Aiwit đã thay đổi quyền sở hữu", theo các thử nghiệm do tổ chức tiến hành.

Các sự cố khác được nhấn mạnh là chuông cửa truyền địa chỉ IP của chủ sở hữu qua Internet, truyền hình ảnh tĩnh do camera chụp lại, truyền tên không được mã hóa của mạng Wi-Fi cục bộ mà chuông cửa kết nối qua Internet.

Consumer Reports cho biết EKEN đã không trả lời email của họ về những vấn đề này. EKEN cũng không trả lời yêu cầu bình luận từ TechCrunch.

Bất chấp những cảnh báo của Consumer Reports, chuông cửa video vẫn có sẵn trên Amazon, Sears và Shein. Theo Temu, sau khi nhận cảnh báo hôm 5/2, họ đã hành động ngay lập tức và đình chỉ bán các mẫu chuông cửa video Tuck, EKEN. Với thông tin bổ sung nhận được ngày 28/2, Temu đã xóa tất cả chuông cửa camera sử dụng ứng dụng Aiwit khỏi nền tảng.

Người phát ngôn của Walmart, John Forrest, cho biết hệ thống bán lẻ đã loại bỏ chuông cửa EKEN và Tuck. Song, Consumer Reports chỉ ra vẫn còn những chiếc chuông cửa tương tự tại đây.

Theo TechCrunch, nghiên cứu một lần nữa cho thấy khách hàng không có cách nào để biết liệu các thiết bị thông minh kết nối Internet có các biện pháp bảo mật và quyền riêng tư thích hợp hay không. Các chợ thương mại điện tử cũng không kiểm tra những gì họ bán, cho đến khi ai đó từ bên ngoài, như Consumer Reports, báo cáo các sản phẩm không an toàn.

(Theo TechCrunch)