VNR Content
Pearl
Một vấn đề nghiêm trọng vừa được phát hiện đối với loa Google Home, cho phép kẻ gian nghe ngóng mọi âm thanh, động tĩnh trong nhà của người dùng mà họ không hề hay biết. Nhà nghiên cứu bảo mật Matt Kunze đã phát hiện vấn đề này vào tháng 01/2021 sau khi tiến hành một loạt thử nghiệm với loa thông minh Nest Mini của Google. Kết quả cho thấy một tài khoản ẩn mới có thể được thêm vào thông qua ứng dụng Home để cho phép hacker chiếm quyền điều khiển thiết bị từ xa thông qua API đám mây. Kunze khám phá ra rằng, để có thể thực hiện hành vi này, các hacker sẽ cần biết tên thiết bị, chứng chỉ và ID đám mây từ API cục bộ. Khi đã chuẩn bị đầy đủ các phương tiện cần thiết, hacker sẽ gửi một yêu cầu liên kết cho thiết bị thông qua máy chủ của Google. Sau khi thử đột nhập thiết bị dưới phương thức mà một kẻ lừa đảo thường dùng, Kunze đã chỉ ra hàng loạt kịch bản có khả năng xảy ra trong trường hợp hacker thứ thiệt có thể làm với thiết bị của một người dùng không chút phòng bị tại nhà. Những kịch bản được Kunze chỉ ra bao gồm cả khả năng theo dõi con người một cách đáng sợ của hacker, khả năng thực hiện các yêu cầu HTTP trên mạng của người dùng, hay thậm chí là cả việc đọc/ghi các file trên thiết bị. Nếu như thế vẫn chưa đủ khiến bạn lo ngại, thì các hacker còn có thể kích hoạt từ xa lệnh thực hiện cuộc gọi của loa thông minh, cho phép thiết bị của bạn gọi điện vào số máy của chúng bất cứ lúc nào; sau đó đám hacker chỉ việc nghe hết nội dung các cuộc trò chuyện diễn ra trong nhà bạn. Trong video hướng dẫn của Kunze, bốn đèn hiệu trên loa Nest Mini phát ánh sáng màu lam, báo hiệu rằng đang có một cuộc gọi diễn ra. Tuy nhiên trên thực tế thì bất kể người dùng nào đi ngang qua chiếc loa trong nhà rất có thể sẽ chẳng chú ý đến tín hiệu này, hoặc nếu có thì họ cũng không nghĩ rằng đèn hiệu này cho biết một cuộc gọi đang được thực hiện đến đâu đó. Ngoài ra, hacker sẽ chiếm đoạt luôn khả năng điều khiển công tắc nhà thông minh của bạn, thực hiện các giao dịch trực tuyến, mở khóa cửa nhà và xe, hay thậm chí là lấy luôn mã PIN mà bạn sử dụng cho khóa thông minh. Trong quá trình phân tích về cách thức tìm ra lỗ hổng nghiêm trọng này, Kunze cho biết: sẽ chẳng có rủi ro nào được đề cập ở trên có thể xảy ra nếu bạn đang chạy firmware mới nhất; nguyên nhân vì sau khi Kunze báo cáo lỗi này đến Google vào năm 2021, gã khổng lồ đã sửa chữa và vá lại các vấn đề về bảo mật trong tháng 4 cùng năm. Kunze được phía Google thưởng 107,500 USD vì đã tìm ra lỗ hổng nghiêm trọng này và có báo cáo chi tiết kịp thời. Nhà nghiên cứu cũng tuyên bố rằng các bản sửa lỗi của Google bao gồm cả việc đòi hỏi phải có một lời mời đến “Home” của thiết bị được đăng kí để có thể liên kết thiết bị với tài khoản của bạn. Ngoài ra, Google đã vô hiệu hóa khả năng kích hoạt lệnh gọi điện từ xa thông qua các cách thông thường. Để gia cố hàng rào bảo mật hơn nữa, các thiết bị nhà thông minh của Google sở hữu màn hình, như Nest Hub Max, đã được cải tiến bảo vệ bằng mật khẩu WPA2 hiển thị thông qua mã QR trên màn hình. Tham khảo: AndroidCentral >> Google Assistant kiểm soát ngôi nhà thông minh như thế nào?
