Bảy lỗ hổng trên camera “thông minh”

Đó là bảy lỗ hổng… nghiêm trọng, do tổ chức Tenable Research ở Hoa Kỳ phát hiện ra trong hệ thống camera an ninh Blink XT2, thuộc công ty con Blink Home Security của… “ông khổng lồ” Amazon.

Blink XT2 là loại camera an ninh “thông minh” được sử dụng ngoài trời, hay trong nhà, giá 99,99 USD, có âm thanh hai chiều, kết nối Internet để lưu trữ dữ liệu đám mây, được đánh giá cao (4,1 trên tổng số 5 sao) trên chợ trực tuyến Amazon. 

 Theo Strategy Analytics, hơn 50 triệu camera an ninh "thông minh" đã được bán vào năm 2018. Điều đáng sợ là các thiết bị đó lại là... cửa ngõ tiềm năng cho kẻ xấu truy cập vào thông tin cá nhân và mạng gia đình. 

Nếu bị khai thác, các lỗ hổng bảo mật trong Blink XT2 cho phép kẻ tấn công hoàn toàn kiểm soát camera, có được thông tin nhạy cảm về tài khoản chủ sở hữu, cho phép chúng xem từ xa những hình ảnh và video được lưu trữ, nghe đầu ra âm thanh, thêm hoặc xóa các thiết bị kết nối Internet trong nhà “khổ chủ” khỏi tài khoản, hoặc chặn hoàn toàn thông tin liên lạc của camera. Tin tặc thậm chí có thể sử dụng camera “thông minh” này trong… botnet (mạng các máy tính bị  tin tặc điều khiển từ xa) để tấn công từ chối dịch vụ phân tán (DDoS), đánh cắp dữ liệu, hoặc gởi thư rác,…

Ngày 10 tháng 12 năm 2019, thông cáo báo chí của Tenable đã dẫn lời  của giám đốc công nghệ Renaud Deraison, rằng: "Tội phạm mạng đang tập trung vào việc… ‘thỏa hiệp’ với các thiết bị được kết nối Internet, như camera Blink, ở khắp mọi nơi… Vì vậy, các nhà sản xuất thiết bị kết nối cần đảm bảo khả năng bảo mật hiệu quả trong thiết kế tổng thể ngay từ đầu. Điều này đặc biệt quan trọng khi thiết bị được đề cập là camera an ninh”. 

Ngay sau đó, Amazon đã hợp tác với Tenable để kịp thời phát hành các bản vá những lỗ hổng bị phát hiện. Người dùng được Amazon khuyến khích cập nhật chương trình điều khiển thiết bị (firmware), từ phiên bản 2.13.11 trở lên, cho camera Blink của họ.

Mới chỉ… vá thôi, ắt là không đủ. Bởi thiết kế tổng thể ngay từ đầu của hệ thống camera Blink rõ ràng là… có vấn đề.

Trên chợ trực tuyến Amazon, camera an ninh không dây, giá rẻ, được quảng cáo là sản phẩm bán chạy nhất.

 Ẩn dưới hàng trăm lời khen “có cánh”…

Trước đó gần ba tháng, vào ngày 1 tháng 10 năm 2019, tổ chức tư vấn tiêu dùng Which ở Anh đã vạch trần 50 loại camera an ninh có lỗi bảo mật song vẫn được bán trên chợ trực tuyến Amazon, tạo ra rủi ro bảo mật “khổng lồ” cho khách hàng, đi kèm với… nhãn hiệu “Sự lựa chọn của Amazon”.

Nhãn “Sự lựa chọn của Amazon” được “ông khổng lồ” về thương mại điện tử này đưa ra vào năm 2015, biểu thị những loại mặt hàng phổ biến, thường nằm trong những kết quả hàng đầu được giới thiệu, thông qua trợ lý giọng nói Alexa của Google.

Tuy vậy, sáu loại camera không dây, giá rẻ, mang nhãn “Sự lựa chọn của Amazon” được Which thử nghiệm đều rất dễ bị tấn công. Trong đó, có một lỗ hổng bảo mật quan trọng có thể ảnh hưởng tới hơn 50.000 camera an ninh ở Anh, và khoảng hai triệu camera trên toàn thế giới. 

 “Có vẻ như Amazon rất ít, hoặc không kiểm soát chất lượng các sản phẩm camera dưới tiêu chuẩn ấy, song vẫn chứng thực và… khuyên dùng, bán trên chợ trực tuyến.” – ông Adam French, chuyên gia về quyền lợi người tiêu dùng tại Which, tố cáo.

Amazon không trả lời chi về cuộc điều tra của Which, nhưng lại gởi văn bản tới báo đài ở Anh, rằng: “Chúng tôi yêu cầu tất cả các sản phẩm được cung cấp trong cửa hàng của Amazon phải tuân thủ luật pháp và quy định hiện hành. Chúng tôi chủ động giám sát nhiều nguồn thông báo an toàn từ các cơ quan quản lý, và liên hệ trực tiếp từ các thương hiệu, nhà sản xuất và người bán.”

Tuy vậy, một số đánh giá trực tuyến của những khách hàng đã… lỡ mua các loại camera đó lại nói khác với tuyên bố của Amazon. Chẳng hạn, một khách hàng viết rằng anh ta đã “ớn lạnh xương sống” khi nghe một giọng nói bí ẩn phát ra từ chiếc camera đặt bên nôi con mình, vì camera đã bị kẻ lạ tấn công.

Một khách hàng khác đã nhận xét về camera an ninh không dây Victure, hàng Trung Quốc, giá 35,99 USD, được xếp hạng 4,4 sao trên Amazon: “Ai đó đã theo dõi chúng tôi. Họ đã nói chuyện qua camera, và họ bật camera theo ý muốn. Vô cùng đáng sợ. Có ba người cũng đã trải nghiệm qua điều ấy. Chúng tôi đã nói với Amazon, nhưng họ vẫn đang bán chúng.”