Thiết bị smarthome trôi nổi – ‘sân chơi’ mới của hacker

[ad_1]

Các thiết bị nhà thông minh như bóng đèn, ổ cắm điện… ngày càng rẻ và phổ biến, nhưng phần mềm điều khiển chúng rất dễ bị hacker tấn công.

Một buổi chiều năm 2015, Chet Wisniewski bước vào cửa hàng Fry’s Electronics ở Las Vegas, lựa chọn một số bóng đèn thông minh và các thiết bị kết nối cho smarthome.

Ảnh: Washington Post

Ảnh: Washington Post

Wisniewski, nhà nghiên cứu tại công ty bảo mật Sophos, không mua các thiết bị trên để dùng. Mục đích của ông là muốn biết liệu sản phẩm bán sẵn có lỗ hổng bảo mật nào hay không. Ông muốn hack vào firmware của thiết bị, dù không phải kỹ năng ông giỏi nhất.

Vài ngày sau, Wisniewski có cả một danh sách các thiết bị đã bị ông xâm nhập. “Tôi thậm chí không cần thực hiện bất kỳ công đoạn tấn công firmware nào, bởi nó còn dễ hơn thế”, Wisniewski cho biết. “Tôi tưởng phải một tuần mới hack thành công, nhưng việc thực hiện chỉ một giờ”.

Theo Wisniewski, phần mềm bên trong những thiết bị nhà thông minh đang bán trên thị trường kém bảo mật hơn cả mong đợi. Chuyên gia này cho biết, thay vì các chương trình được thiết kế riêng, firmware chứa đầy các gói mã được lấy từ Internet một cách bừa bãi. Một số đoạn mã đến từ các dự án mà lập trình viên đã ngừng cập nhật.

“Các lỗi phần mềm trở nên phức tạp, hacker có thể dễ dàng khai thác chúng”, Wisniewski khi đó nhận xét.

Sáu năm sau, thiết bị thông minh cho gia đình đã bùng nổ hơn. Theo IDC, trong năm nay, hơn 77% hộ gia đình có sử dụng Wi-Fi cho biết họ sở hữu ít nhất một sản phẩm nhà thông minh, cao hơn mức 65% của 2020. Tuy nhiên, Wisniewski đã thực hiện lại các nghiên cứu cũ và nhận thấy “mọi thứ không hề tốt lên”.

Theo chuyên gia này, thiết bị nhà thông minh bán trôi nổi trên thị trường vẫn sử dụng firmware đời cũ và không cập nhật. Trong khi đó, các sản phẩm từ thương hiệu tên tuổi như Apple, AmazonGoogle đi kèm với những lo ngại về quyền riêng tư, chẳng hạn thu thập dữ liệu cho quảng cáo, giá bán đắt đỏ. “Người dùng dường như đang mắc kẹt. Họ cần đưa ra những quyết định khó khăn giữa quyền riêng tư và bảo mật”, Wisniewski nhận xét.

Rủi ro phần mềm từ thiết bị nhà thông minh

“Khi đứng trước cửa hàng đồ gia dụng để mua đèn thông minh, bạn có thể phải lựa chọn giữa bóng đèn Philips Hue có giá 97 USD và hàng nhái giá 18 USD. Nếu dựa trên chất lượng và thương hiệu, bạn có một sản phẩm tốt. Nếu ưu tiên giá bán, bạn có một thiết bị làm nhái”, Wisniewski nói.

Tuy nhiên, ông nhấn mạnh rằng bên cạnh mức giá, yếu tố bảo mật phần mềm mới là thứ quan trọng nhất. Nếu các nhà sản xuất có tên tuổi và uy tín quan tâm đến việc bảo đảm thiết bị thông minh luôn an toàn bằng các bản cập nhật định kỳ, sản phẩm “vô danh” không làm được như vậy. Thực tế, chúng không có các tính năng nâng cấp từ xa. Thậm chí, nhiều sản phẩm được gắn “nhãn trắng”, rất khó để truy xuất nguồn gốc.

Hiện nay, tác động của việc hacker lợi dụng thiết bị nhà thông minh còn quá nhỏ để nhận thấy, nhưng chúng có thể bị lợi dụng cho mục đích xấu. Chẳng hạn, đầu năm nay, nhiều nhà cung cấp dịch vụ Internet và các tổ chức tài chính trên thế giới phải hứng chịu hàng loạt lưu lượng truy cập giả từ một mạng độc hại gồm hàng trăm nghìn thiết bị thông minh chứa mã độc.

“Việc huy động mọi cột đèn trong một thành phố thông minh để phục vụ cho một mạng botnet có nguy cơ tạo nên một cuộc ‘đảo chính’ trên không gian mạng”, Rik Ferguson, Phó chủ tịch bộ phận nghiên cứu bảo mật của công ty an ninh mạng Trend Micro, nêu viễn cảnh.

Cũng theo ông, bên cạnh việc bị lợi dụng làm botnet, thiết bị nhà thông minh có thể bị dùng cho các mục đích xấu hơn. Ông hình dung hacker có thể khai thác bóng đèn thông minh để kết nối với loa thông minh, sau đó phát tệp âm thanh có nội dung “Alexa, mở khóa cửa trước”.

Chris Rouland, CEO hãng bảo mật Phosphorus Cybersecurity, cũng chỉ ra các thiết bị nhà thông minh có thể thông qua Wi-Fi để xâm nhập vào camera theo dõi mọi thứ trong gia đình, hoặc các thiết bị khác để truyền mã độc.

Trong báo cáo Project 2030 của Ferguson và chuyên gia Victoria Baines của Đại học Oxford về tương lai Internet of Things 2030, cả hai lo ngại việc có thêm hàng tỷ thiết bị phục vụ nhà thông minh mỗi năm đang là thách thức lớn.

“Chúng có thể mở ra con đường lớn cho tội phạm mạng”, Baines nói. “Các thiết bị nhà thông minh vài năm tới không đơn thuần chỉ là điều khiển ánh sáng, bật TV hay làm các thao tác đơn giản. Nó là yếu tố tác động cả về thể chất, sức khoẻ lẫn sự an toàn của người dùng”.

Theo các chuyên gia, người dùng nên lựa chọn thiết bị nhà thông minh từ hãng cung cấp uy tín, được cập nhật thường xuyên. Bên cạnh đó, với các sản phẩm có mật khẩu, người dùng nên thay đổi mật khẩu mặc định.

Nếu không muốn gặp phải vấn đề về quyền riêng tư, người dùng có thể mua các sản phẩm từ nhà cung cấp nhỏ lẻ, ngắt kết nối với Internet, chỉ dùng mạng nội bộ gia đình để tránh bị hacker lợi dụng. Dù vậy, cách làm này sẽ hạn chế hầu hết công năng của chúng.

“Bất kỳ lựa chọn nào giữa quyền riêng tư và bảo mật đều rất khó khăn. Nhưng điều quan trọng là chúng ta không phải ‘những kẻ ngốc bị giam cầm’. Người dùng cần tìm hiểu sản phẩm trước khi trang bị cho ngôi nhà của mình”, Baines khuyến cáo. “Nếu không thoải mái với nó, lời khuyên tốt nhất là đừng mua”.

Bảo Lâm (theo Washington Post)

[ad_2]