Bỉ Ngạn Hoa
Moderator
Mấy ngày gần đây, nhiều báo đưa tin về việc một chuyên gia bảo mật hàng đầu người Đức đã tìm ra lỗ hổng và can thiệp được vào hệ thống camera của mẫu robot Ecovacs Deebot X2.
Mẫu robot Ecovacs Deebot X2 có lỗ hổng bị lợi dụng để tấn công từ xa.
Việc hack chiếc Deebot X2 được Dennis Giese, một nhà nghiên cứu bảo mật nổi tiếng người Đức, thực hiện trên smartphone thông qua kết nối Bluetooth dưới sự đồng ý của người sở hữu mẫu robot này. Sau khi tấn công thành công vào robot, chuyên gia bảo mật này có thể xem được những hình ảnh quay từ camera tích hợp trong chiếc Deebot X2.
Theo Dennis Giese, việc tấn công được thực hiện thông qua khai thác một lỗ hổng bảo mật được phát hiện từ tháng 12/2023. Không chỉ robot của Ecovacs, chuyên gia này cho biết nhiều robot của các hãng đều có những lỗ hổng có thể bị khai thác để tấn công.
Theo trang SmartHouse của Úc, hầu hết robot hút bụi của các hãng như LG Electronics, Samsung, iRobot và Roborock đều sử dụng hệ thống cảm biến LiDAR mà tin tặc chuyên nghiệp đã có thể truy cập. Thậm chí, công ty bảo mật Check Point Software của Israel đã phát hiện ra rằng các thiết bị gia dụng sử dụng nền tảng kết nối SmartThinQ bao gồm máy giặt, máy sấy, tủ lạnh, máy rửa chén và máy hút bụi của hãng Hàn Quốc LG cũng có thể được điều khiển thông qua ứng dụng web của bên thứ ba mà tin tặc sử dụng.
Check Point đã tìm thấy lỗ hổng trong quy trình đăng nhập cổng thông tin LG cho phép các nhà nghiên cứu của họ kiểm soát máy hút bụi tự động LG Hom-Bot và truy cập được vào hình ảnh video phát trực tiếp từ camera của máy hút bụi này.
Gần đây, nhiều hãng gồm cả LG, Samsung, Roborock và Dreame đều đã tung ra máy hút bụi rô-bốt mới sử dụng cảm biến LiDAR kết hợp camera để lập bản đồ ngôi nhà.
Công nghệ LiDAR (phát hiện ánh sáng và đo khoảng cách) là công nghệ cảm biến từ xa cho phép robot định hướng chính xác ngôi nhà và tránh mọi chướng ngại vật nó có thể gặp phải trong quá trình lau dọn. Để tránh vật cản hiệu quả hơn, robot cần thêm camera tích hợp và cả phần mềm. Để kết nối máy hút bụi với ứng dụng, cần có kết nối Bluetooth hoặc Wi-Fi.
Vấn đề hacker tấn công robot không phải là mới và trước đây các nhà nghiên cứu đã phát hiện ra rằng nhiều robot dùng LiDAR có thể bị hack và được sử dụng để theo dõi các cuộc trò chuyện bằng giọng nói.
Ưu điểm chính của việc sử dụng LiDAR là độ chính xác. Hệ thống LiDAR biết chính xác vị trí của tường, đồ đạc và các chướng ngại vật khác, giúp máy hút bụi làm sạch hiệu quả và nhanh hơn, đồng thời tránh được các khu vực cấm.
Một lợi ích khác khi sử dụng LiDAR là độ tin cậy. Máy máy hút bụi sử dụng công nghệ này hoạt động tốt trong điều kiện thiếu sáng hoặc tối, đây thường là nơi mà các hệ thống sử dụng camera có thể gặp trục trặc.
Thực tế, không chỉ robot. Chúng ta đều dễ bị tấn công khi kết nối với mạng Bluetooth hoặc Wi-Fi cho các thiết bị như loa thông minh, camera an ninh thông minh, bóng đèn thông minh, máy pha cà phê thông minh, đồng hồ báo thức thông minh, tủ lạnh thông minh, thậm chí một số đồ chơi trẻ em. Nhiều thiết bị IoT cũng có thể bị tin tặc và các công ty bảo mật chuyên nghiệp truy cập để kiểm tra lỗ hổng.
Liên quan đến vụ hack chiếc Deebot X2, Ecovacs phản hồi rằng "Ecovacs tôn trọng hoạt động của các chuyên gia bảo mật, những người xác định các lỗ hổng tiềm ẩn thông qua nghiên cứu và chủ động chia sẻ những phát hiện của họ với các công ty. Chúng tôi tin rằng sự tương tác giữa các chuyên gia bảo mật và các công ty, thông qua thử nghiệm tấn công và phòng thủ và công bố kết quả, góp phần cải thiện bảo mật sản phẩm".
"Ecovacs luôn ưu tiên bảo mật sản phẩm và dữ liệu, cũng như bảo vệ quyền riêng tư của người tiêu dùng. Chúng tôi đảm bảo với khách hàng rằng các sản phẩm hiện có của chúng tôi cung cấp mức độ bảo mật cao trong cuộc sống hàng ngày và người tiêu dùng có thể tự tin sử dụng các sản phẩm của Ecovacs".
Ecovacs cho biết ngay sau sự cố trên, đội ngũ kỹ thuật của hãng đã ngay lập tức phát triển và phát hành một bản cập nhật phần mềm để khắc phục lỗ hổng bảo mật. Hiện tại tất cả các mẫu robot hút bụi của Ecovacs đều đã được cập nhật để phòng ngừa hoàn toàn lỗ hổng bảo mật tấn công từ xa.
Riêng phiên bản Deebot X2, một bản nâng cấp mới sẽ được phát hành vào tháng 11/2024 để xử lý dứt điểm vấn đề này. Trước đó vào tháng 8/2024, Ecovacs cho biết hãng cũng đã xử lý vấn đề mã PIN cho quyền xem video trực tiếp trên chiếc Deebot X2 để tăng cường lớp bảo mật. Ngoài các bản cập nhật, Ecovacs cho biết họ cũng đang thực hiện các biện pháp an ninh bổ sung để ngăn chặn các sự cố tương tự trong tương lai.
Theo Ecovacs, tất cả các sản phẩm của hãng đều trải qua kiểm tra nghiêm ngặt để đáp ứng các tiêu chuẩn an ninh cao và nhận chứng chỉ từ các tổ chức bên thứ ba có uy tín như TÜV Rheinland. Những sản phẩm này được thiết kế để tuân thủ không chỉ GDPR (các quy định về bảo mật thông tin của liên minh châu Âu) mà còn cả các yêu cầu pháp lý của từng thị trường trên toàn cầu.
Để tăng cường bảo mật, Ecovacs cũng khuyến cáo người dùng thực hành việc sử dụng mật khẩu tốt, bao gồm thiết lập mật khẩu riêng cho từng tài khoản và thường xuyên cập nhật mật khẩu. Đây là những biện pháp cần thiết để củng cố việc bảo vệ dữ liệu và quyền riêng tư cho tất cả các loại sản phẩm AIoT.
Tại thị trường Việt Nam, theo Ecovacs, hiện chưa có khách hàng nào bị ảnh hưởng bởi sự cố bảo mật nói trên. Trong trường hợp gặp phải vấn đề tương tự, hãng khuyến khích khách hàng liên hệ ngay với bộ phận chăm sóc khách hàng để được tư vấn và hỗ trợ hoàn toàn miễn phí.
Mẫu robot Ecovacs Deebot X2 có lỗ hổng bị lợi dụng để tấn công từ xa.
Việc hack chiếc Deebot X2 được Dennis Giese, một nhà nghiên cứu bảo mật nổi tiếng người Đức, thực hiện trên smartphone thông qua kết nối Bluetooth dưới sự đồng ý của người sở hữu mẫu robot này. Sau khi tấn công thành công vào robot, chuyên gia bảo mật này có thể xem được những hình ảnh quay từ camera tích hợp trong chiếc Deebot X2.
Theo Dennis Giese, việc tấn công được thực hiện thông qua khai thác một lỗ hổng bảo mật được phát hiện từ tháng 12/2023. Không chỉ robot của Ecovacs, chuyên gia này cho biết nhiều robot của các hãng đều có những lỗ hổng có thể bị khai thác để tấn công.
Theo trang SmartHouse của Úc, hầu hết robot hút bụi của các hãng như LG Electronics, Samsung, iRobot và Roborock đều sử dụng hệ thống cảm biến LiDAR mà tin tặc chuyên nghiệp đã có thể truy cập. Thậm chí, công ty bảo mật Check Point Software của Israel đã phát hiện ra rằng các thiết bị gia dụng sử dụng nền tảng kết nối SmartThinQ bao gồm máy giặt, máy sấy, tủ lạnh, máy rửa chén và máy hút bụi của hãng Hàn Quốc LG cũng có thể được điều khiển thông qua ứng dụng web của bên thứ ba mà tin tặc sử dụng.
Check Point đã tìm thấy lỗ hổng trong quy trình đăng nhập cổng thông tin LG cho phép các nhà nghiên cứu của họ kiểm soát máy hút bụi tự động LG Hom-Bot và truy cập được vào hình ảnh video phát trực tiếp từ camera của máy hút bụi này.
Gần đây, nhiều hãng gồm cả LG, Samsung, Roborock và Dreame đều đã tung ra máy hút bụi rô-bốt mới sử dụng cảm biến LiDAR kết hợp camera để lập bản đồ ngôi nhà.
Công nghệ LiDAR (phát hiện ánh sáng và đo khoảng cách) là công nghệ cảm biến từ xa cho phép robot định hướng chính xác ngôi nhà và tránh mọi chướng ngại vật nó có thể gặp phải trong quá trình lau dọn. Để tránh vật cản hiệu quả hơn, robot cần thêm camera tích hợp và cả phần mềm. Để kết nối máy hút bụi với ứng dụng, cần có kết nối Bluetooth hoặc Wi-Fi.
Vấn đề hacker tấn công robot không phải là mới và trước đây các nhà nghiên cứu đã phát hiện ra rằng nhiều robot dùng LiDAR có thể bị hack và được sử dụng để theo dõi các cuộc trò chuyện bằng giọng nói.
Ưu điểm chính của việc sử dụng LiDAR là độ chính xác. Hệ thống LiDAR biết chính xác vị trí của tường, đồ đạc và các chướng ngại vật khác, giúp máy hút bụi làm sạch hiệu quả và nhanh hơn, đồng thời tránh được các khu vực cấm.
Một lợi ích khác khi sử dụng LiDAR là độ tin cậy. Máy máy hút bụi sử dụng công nghệ này hoạt động tốt trong điều kiện thiếu sáng hoặc tối, đây thường là nơi mà các hệ thống sử dụng camera có thể gặp trục trặc.
Thực tế, không chỉ robot. Chúng ta đều dễ bị tấn công khi kết nối với mạng Bluetooth hoặc Wi-Fi cho các thiết bị như loa thông minh, camera an ninh thông minh, bóng đèn thông minh, máy pha cà phê thông minh, đồng hồ báo thức thông minh, tủ lạnh thông minh, thậm chí một số đồ chơi trẻ em. Nhiều thiết bị IoT cũng có thể bị tin tặc và các công ty bảo mật chuyên nghiệp truy cập để kiểm tra lỗ hổng.
Liên quan đến vụ hack chiếc Deebot X2, Ecovacs phản hồi rằng "Ecovacs tôn trọng hoạt động của các chuyên gia bảo mật, những người xác định các lỗ hổng tiềm ẩn thông qua nghiên cứu và chủ động chia sẻ những phát hiện của họ với các công ty. Chúng tôi tin rằng sự tương tác giữa các chuyên gia bảo mật và các công ty, thông qua thử nghiệm tấn công và phòng thủ và công bố kết quả, góp phần cải thiện bảo mật sản phẩm".
"Ecovacs luôn ưu tiên bảo mật sản phẩm và dữ liệu, cũng như bảo vệ quyền riêng tư của người tiêu dùng. Chúng tôi đảm bảo với khách hàng rằng các sản phẩm hiện có của chúng tôi cung cấp mức độ bảo mật cao trong cuộc sống hàng ngày và người tiêu dùng có thể tự tin sử dụng các sản phẩm của Ecovacs".
Ecovacs cho biết ngay sau sự cố trên, đội ngũ kỹ thuật của hãng đã ngay lập tức phát triển và phát hành một bản cập nhật phần mềm để khắc phục lỗ hổng bảo mật. Hiện tại tất cả các mẫu robot hút bụi của Ecovacs đều đã được cập nhật để phòng ngừa hoàn toàn lỗ hổng bảo mật tấn công từ xa.
Riêng phiên bản Deebot X2, một bản nâng cấp mới sẽ được phát hành vào tháng 11/2024 để xử lý dứt điểm vấn đề này. Trước đó vào tháng 8/2024, Ecovacs cho biết hãng cũng đã xử lý vấn đề mã PIN cho quyền xem video trực tiếp trên chiếc Deebot X2 để tăng cường lớp bảo mật. Ngoài các bản cập nhật, Ecovacs cho biết họ cũng đang thực hiện các biện pháp an ninh bổ sung để ngăn chặn các sự cố tương tự trong tương lai.
Theo Ecovacs, tất cả các sản phẩm của hãng đều trải qua kiểm tra nghiêm ngặt để đáp ứng các tiêu chuẩn an ninh cao và nhận chứng chỉ từ các tổ chức bên thứ ba có uy tín như TÜV Rheinland. Những sản phẩm này được thiết kế để tuân thủ không chỉ GDPR (các quy định về bảo mật thông tin của liên minh châu Âu) mà còn cả các yêu cầu pháp lý của từng thị trường trên toàn cầu.
Để tăng cường bảo mật, Ecovacs cũng khuyến cáo người dùng thực hành việc sử dụng mật khẩu tốt, bao gồm thiết lập mật khẩu riêng cho từng tài khoản và thường xuyên cập nhật mật khẩu. Đây là những biện pháp cần thiết để củng cố việc bảo vệ dữ liệu và quyền riêng tư cho tất cả các loại sản phẩm AIoT.
Tại thị trường Việt Nam, theo Ecovacs, hiện chưa có khách hàng nào bị ảnh hưởng bởi sự cố bảo mật nói trên. Trong trường hợp gặp phải vấn đề tương tự, hãng khuyến khích khách hàng liên hệ ngay với bộ phận chăm sóc khách hàng để được tư vấn và hỗ trợ hoàn toàn miễn phí.
