Những lỗ hổng mọc mời…. hacker

Ngày 1-10-2019, trang web Which ở Anh, chuyên tư vấn tiêu dùng thông qua các thử nghiệm sản phẩm và dịch vụ, đã đưa ra cảnh báo: hơn 50.000 camera kết nối internet đang được bày bán rôm rả trên hệ thống Amazon và các nhà bán lẻ khác, dù vẫn có những lỗi bảo mật nghiêm trọng.

Which  đã mua để thử nghiệm bốn camera an ninh không dây Vstarcam, egGeek, Sricam và SV3C từ danh sách bán chạy nhất của Amazon, được quảng cáo với logo “Sự lựa chọn của Amazon”, kèm theo hàng trăm lời đánh “có cánh”. Tuy vậy, chúng lại là các thương hiệu... ít được biết tới bên ngoài các thị trường trực tuyến, và đều có trụ sở ở Thâm Quyến, bên Trung Quốc. 

Context Information Security - đối tác phòng thí nghiệm của Which, đã tìm ra những vấn đề bảo mật quan trọng nơi tất cả các camera ấy, bao gồm:

- Mật khẩu yếu: Với camera Vstarcam C7837WIP, tên người dùng mặc định được đặt thành "nhà quản trị" cơ bản, với mật khẩu dễ đoán, cho phép ai đó có thể kiểm soát hoàn toàn camera của bạn. Bằng cớ là Which đã khôi phục được tên người dùng và mật khẩu cho tài khoản quản trị viên. 

- Dữ liệu chẳng hề được mã hóa: Các camera egGeek 1080p và Sricam 720p dường như sử dụng cùng một ứng dụng. Khi bạn nhập mật khẩu wi-fi, nó đã gởi mật khẩu không được mã hóa qua internet. 

Điều đó có thể giúp kẻ tấn công truy cập vào mạng wi-fi của nhà bạn, xem những gì bạn lướt web, thậm chí truy cập vào cả những dữ liệu được lưu trữ trên các thiết bị khác mà bạn đã kết nối ở nhà, như máy tính bảng, máy tính xách tay và loa thông minh.

- Tiếp quản trọn vẹn camera: Kẻ tấn công có thể kiểm soát hoàn toàn thiết bị, nhờ có được… quyền truy cập ưu tiên (hay quyền truy cập root) vào camera Victure 1080p. Điều này giống như… có sẵn chìa khóa ở cửa trước của một ngôi nhà, giúp hacker giành quyền kiểm soát hoàn toàn và có thể xem các cảnh quay khi y muốn.

Vấn đề này thậm chí từng được một khách hàng gắn cờ cảnh báo với camera Victure 1080p, từ tháng 5 năm 2019, trên Amazon. Tuy vậy, tới tháng 10 vẫn chưa có gì được nhà sản xuất khắc phục, và thiết bị vẫn được tiếp tục bán, kèm theo logo “Sự lựa chọn của Amazon”.

Các nhà sản xuất luôn… ẩn mình

Khi kiểm tra các sản phẩm và dịch vụ, Which luôn cố gắng hợp tác với các công ty cung cấp để đề nghị khắc phục, vì quyền lợi của người tiêu dùng. Tuy vậy, họ đã “chào thua” trước các camera an ninh có nguồn gốc từ Trung Quốc.

Chẳng hạn, Victure và egGeek, hai trong số các thương hiệu mà Which đã thử nghiệm, có một lỗ hổng có thể cho phép hacker truy cập mạng wi-fi tại nhà của bạn và giành quyền kiểm soát hoàn toàn camera. Victure và egGeek có hàng tá camera trong tốp 50 của Amazon, kèm theo hàng ngàn đánh giá tích cực. Vậy mà cả hai thương hiệu này đều có chi tiết liên lạc rất hạn chế.

Trong số 50 camera an ninh bán chạy nhất trên Amazon.co.uk tại thời điểm điều tra, có 32 thiết bị do các công ty không có trang web ở ngoài thị trường trực tuyến, hoặc chỉ có trang web sơ sài, thiếu… địa chỉ liên hệ. Nói cách khác, người tiêu dùng không thể tìm ra ai đã thật sự làm ra sản phẩm liên quan.

Which đã nhờ David Li, một chuyên gia tại Thâm Quyến, vận dụng kiến thức địa phương của anh ta để cố tiếp cận các công ty chế tạo camera an ninh liên quan. Rốt cuộc, ngay cả “Thổ công” David Li cũng không thể tìm ra bất kỳ ai tham gia chế tạo các thiết bị nọ.

Amazon phớt lờ

Which đã công bố kết quả kiểm tra với Amazon, kèm theo đề nghị dừng bán các camera an ninh có vấn đề. 

Which cũng kêu gọi Amazon giám sát một cách có hệ thống các phản hồi của khách hàng, và điều tra những trường hợp mà người tiêu dùng đã xác định được các vấn đề về bảo mật. 

Tuy vậy, Amazon luôn… từ chối bình luận.

Which cũng đã chia sẻ nghiên cứu của họ với Bộ Văn hóa, Truyền thông và Thể thao Vương quốc Anh, vì đã có hơn 50.000 camera không dây, không an toàn được “rước” vô những ngôi nhà của người tiêu dùng nước Anh.

Bộ Văn hóa, Truyền thông và Thể thao hiện đang cân nhắc về việc yêu cầu các nhà sản xuất bán những sản phẩm được kết nối Internet ở Anh, như camera an ninh không dây, phải có quy trình công khai và rõ ràng để xử lý các vấn đề bảo mật nơi các sản phẩm của họ.

“Amazon và các thị trường trực tuyến khác không nên chứng thực các sản phẩm gây nguy hiểm cho quyền riêng tư của mọi người. Nếu họ từ chối chịu trách nhiệm nhiều hơn trong việc bảo vệ người tiêu dùng trước các sản phẩm có rủi ro bảo mật như vậy, chính phủ nên tìm cách khiến họ có trách nhiệm hơn.” – ông Adam French, chuyên gia về quyền lợi của người tiêu dùng, đề nghị