Đừng coi thường, Robot hút bụi cũng có thể trở thành gián điệp trong nhà của bạn

K
Kaya
Phản hồi: 0
  • Thread starter Thread starter Kaya
  • Ngày gửi Ngày gửi

Kaya

Writer
K

Kaya Đã xác thực

Có một nghiên cứu mình vừa đọc xong khiến mình phải nhìn lại cách chúng ta đang sử dụng các thiết bị nhà thông minh. Trước đây, mỗi khi nói đến camera an ninh hay loa thông minh bị hack, nhiều người còn thấy lo lắng. Nhưng ít ai nghĩ rằng một chiếc robot hút bụi cũng có thể trở thành mục tiêu của tin tặc. Nghe có vẻ khó tin, nhưng đó chính là lỗ hổng mà một nhà nghiên cứu bảo mật vừa công bố trên dòng robot hút bụi Shark. Điều đáng nói hơn là lỗ hổng này đến nay vẫn chưa được vá.​

Chỉ cần lấy được một thiết bị, kẻ tấn công có thể nhắm đến nhiều thiết bị khác​

Theo nghiên cứu, vấn đề không nằm ở việc robot hút bụi có camera hay kết nối Internet, mà nằm ở cách thiết bị được cấp quyền giao tiếp với hệ thống đám mây (AWS IoT). Mỗi robot Shark đều được cấp một chứng chỉ (certificate) để xác thực với máy chủ. Đáng lẽ chứng chỉ này chỉ được phép điều khiển chính thiết bị đó.

Tuy nhiên, do cấu hình sai chính sách truy cập, chứng chỉ của một robot lại có thể gửi lệnh tới nhiều robot Shark khác trong cùng khu vực máy chủ, thay vì chỉ thiết bị của chính nó. Nếu kẻ tấn công lấy được chứng chỉ từ một robot, họ có thể lợi dụng nó để tương tác với các robot khác sử dụng cùng hạ tầng.​

Điều gì có thể xảy ra?​

Nhà nghiên cứu cho biết sau khi khai thác thành công, tin tặc có thể:​
  • Điều khiển robot từ xa.​
  • Xem bản đồ ngôi nhà mà robot đã tạo trong quá trình dọn dẹp.​
  • Truy cập camera trên những mẫu robot có tích hợp camera.​
  • Thực thi lệnh với quyền root trên thiết bị.​
  • Thậm chí đọc được mật khẩu Wi-Fi được lưu dưới dạng văn bản thuần trên một số mẫu máy.​
Đây đều là những thông tin rất nhạy cảm, bởi bản đồ căn nhà hay hình ảnh từ camera hoàn toàn có thể tiết lộ thói quen sinh hoạt của gia đình.​

Cuộc tấn công có dễ thực hiện không?​

May mắn là không. Để khai thác được lỗ hổng này, kẻ tấn công trước tiên phải có quyền tiếp cận vật lý với một robot Shark. Họ cần tháo thiết bị, truy cập bo mạch, lấy chứng chỉ bảo mật được lưu bên trong rồi mới có thể sử dụng chứng chỉ đó để giao tiếp với hệ thống đám mây. Toàn bộ quá trình đòi hỏi kiến thức chuyên sâu về phần cứng và hệ thống nhúng. Điều này khiến nguy cơ đối với người dùng phổ thông thấp hơn nhiều so với các cuộc tấn công qua Internet.
a65cc3b3-69f8-4b75-9edc-48d98aeb9245.png

Điều mình thấy đáng suy nghĩ hơn​

Điều đáng chú ý không phải là một mẫu robot hút bụi có lỗ hổng. Điều đáng nói là ngày càng nhiều thiết bị gia dụng trong nhà đều kết nối Internet. Robot hút bụi, camera, khóa cửa, tivi, máy lọc không khí, điều hòa... tất cả đều đang trở thành những chiếc máy tính thu nhỏ. Nếu các thiết bị này được thiết kế thiếu chặt chẽ về bảo mật, chúng không chỉ phục vụ cuộc sống mà còn có thể trở thành mục tiêu của tin tặc.

Đó cũng là lý do vì sao giới an ninh mạng ngày càng quan tâm nhiều hơn đến IoT.​

Chúng ta nên làm gì?​

Nếu đang sử dụng các thiết bị nhà thông minh, đặc biệt là những thiết bị có camera hoặc lưu trữ dữ liệu trong nhà, thiết nghĩ mọi người nên:​
  • Luôn cập nhật firmware khi nhà sản xuất phát hành bản vá.​
  • Chỉ mua thiết bị từ các thương hiệu có chính sách cập nhật bảo mật rõ ràng.​
  • Không để người lạ có cơ hội tiếp cận thiết bị trong thời gian dài.​
  • Theo dõi các thông báo bảo mật từ nhà sản xuất nếu thiết bị mình đang dùng xuất hiện lỗ hổng.​
Có một câu mình rất tâm đắc trong lĩnh vực an ninh mạng: càng nhiều thiết bị kết nối Internet, bề mặt tấn công càng lớn.​
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL2R1bmctY29pLXRodW9uZy1yb2JvdC1odXQtYnVpLWN1bmctY28tdGhlLXRyby10aGFuaC1naWFuLWRpZXAtdHJvbmctbmhhLWN1YS1iYW4uODc4MDAv
Top