Lizzie
Writer
Số thiết bị được kết nối Internet trong một ngôi nhà đang dần trở nên nhiều đến khó nhớ, có thể là mọi thứ từ máy lạnh, TV đến bóng đèn. Các thiết bị "thông minh" giúp người dùng dễ điều khiển nhờ kết nối qua smartphone, nhưng cũng thu thập và để rò rỉ một lượng lớn dữ liệu.
Thậm chí đã có các trường hợp cơ quan thực thi pháp luật và tòa án ở Mỹ sử dụng dữ liệu từ các thiết bị IoT trong một vụ án, vì các thiết bị này có mặt tại hiện trường và thu thập những dữ liệu mà mắt thường không nhìn thấy, chẳng hạn như thời điểm một người tắt đèn, bật TV hay pha cà phê.
Mattia Epifani, nhà phân tích pháp y kỹ thuật số tại Viện SANS, là một trong những người giúp cơ quan thực thi pháp luật làm điều này. Cảnh sát tìm đến Epifani khi họ cần trợ giúp để điều tra xem liệu có thể trích xuất dữ liệu từ một đồ dùng hay không. Epifani cho biết anh cũng đã được các luật sư và khách hàng tư nhân trên khắp thế giới tìm đến khi muốn khai thác thông tin từ đồ gia dụng.
Ví dụ như một chiếc tủ lạnh Samsung. Epifani đã sử dụng dữ liệu từ VTO Labs, một phòng thí nghiệm pháp y kỹ thuật số ở Mỹ, để điều tra lượng thông tin mà một chiếc tủ lạnh thông minh lưu giữ về chủ nhân của nó.
VTO Labs đã giải cấu trúc hệ thống lưu trữ dữ liệu của tủ lạnh Samsung sau khi họ thử sử dụng thiết bị trong một thời gian, trích xuất dữ liệu thu được và đăng một bản sao công khai trên trang web để các nhà nghiên cứu sử dụng.
Steve Watson, Giám đốc điều hành của phòng thí nghiệm, giải thích giải cấu trúc là quy trình tìm kiếm tất cả những nơi mà tủ lạnh có thể lưu trữ dữ liệu, cả bên trong và bên ngoài thiết bị, trong ứng dụng hoặc bộ nhớ đám mây. Epifani bắt tay vào phân tích và thử giành quyền truy cập vào các tệp.
Kết quả là một kho tàng các chi tiết cá nhân. Epifani đã tìm thấy thông tin về các thiết bị Bluetooth gần tủ lạnh, chi tiết tài khoản người dùng Samsung gồm địa chỉ email và mạng Wi-Fi tại nhà. Ngoài ra còn có dữ liệu nhiệt độ, vị trí địa lý, số liệu thống kê hàng giờ về tiêu hao năng lượng. Tủ lạnh cũng lưu trữ dữ liệu về thời điểm người dùng phát nhạc thông qua ứng dụng iHeartRadio.
Tủ lạnh thông minh có thể tiết lộ tài khoản email, mạng Wi-Fi, các thiết bị được kết nối, vị trí địa lý, theo thử nghiệm của các nhà nghiên cứu bảo mật. Ảnh: MIT Technology Review.
Epifani thậm chí có thể truy cập các bức ảnh mà chiếc tủ lạnh này chụp đồ ăn bên trong để hiển thị tính năng "nhìn xuyên thấu" mà không cần mở tủ. Nếu người dùng kết nối tủ lạnh với các thiết bị Samsung khác, thông qua tài khoản cá nhân hoặc gia đình, thì lượng dữ liệu càng nhiều hơn, chuyên gia lưu ý. Không chỉ riêng Samsung, các thiết bị IoT nói chung thu thập và lưu trữ các loại dữ liệu tương tự.
Ngoài những rủi ro về bảo mật và quyền riêng tư, nhiều thiết bị IoT cũng chạy trên các hệ điều hành lỗi thời và do đó kém an toàn hơn vì người dùng hiếm khi cập nhật. “Chẳng ai cập nhật tủ lạnh của họ cả”, Epifani nói.
Một trong những hình ảnh nhạy cảm bị rò rỉ từ robot hút bụi của iRobot. Ảnh: MITTechnologyReview.
Đây là vấn đề ngày càng lớn khi trong các ngôi nhà ngày càng nhiều thứ kết nối với Internet. Atlantic đã chỉ ra những dữ liệu mà TV thông minh thu thập từ người xem, MIT Technology Review đã chỉ ra cách máy hút bụi chụp và để lộ ảnh riêng tư trong nhà.
Watson không lo ngại chính phủ hoặc các công ty công nghệ theo dõi người dùng thông qua đồ gia dụng, nhưng lo ngại rằng tất cả các dữ liệu này có thể bị khai thác, tích lũy và mua bán bởi các nhà môi giới dữ liệu.
“Đây là rủi ro mà nhiều người không hiểu. Giả sử một chiếc giường theo dõi giấc ngủ và nhịp tim của người dùng, và công ty giường bán dữ liệu này cho một công ty bảo hiểm, người dùng có thể bị từ chối tiếp cận sản phẩm và dịch vụ nếu bên bảo hiểm nhận thấy có rủi ro", Watson nói, lưu ý thêm rằng chúng ta dần khả năng kiểm soát dữ liệu nào được thu thập, ai đang nắm giữ nó và dùng để làm gì.
Thậm chí đã có các trường hợp cơ quan thực thi pháp luật và tòa án ở Mỹ sử dụng dữ liệu từ các thiết bị IoT trong một vụ án, vì các thiết bị này có mặt tại hiện trường và thu thập những dữ liệu mà mắt thường không nhìn thấy, chẳng hạn như thời điểm một người tắt đèn, bật TV hay pha cà phê.
Mattia Epifani, nhà phân tích pháp y kỹ thuật số tại Viện SANS, là một trong những người giúp cơ quan thực thi pháp luật làm điều này. Cảnh sát tìm đến Epifani khi họ cần trợ giúp để điều tra xem liệu có thể trích xuất dữ liệu từ một đồ dùng hay không. Epifani cho biết anh cũng đã được các luật sư và khách hàng tư nhân trên khắp thế giới tìm đến khi muốn khai thác thông tin từ đồ gia dụng.
Kho tàng dữ liệu cá nhân ngay trong nhà
Điện thoại thông minh và máy tính là những loại thiết bị phổ biến nhất mà cảnh sát thu giữ để hỗ trợ điều tra, nhưng Epifani nói rằng bằng chứng hành vi có thể đến từ mọi nơi. “Đó có thể là một tag định vị, một tin nhắn, nhịp tim hay số bước một người đã đi. Tất cả những thứ này về được lưu trữ trên các thiết bị điện tử", chuyên gia cho biết.VTO Labs đã giải cấu trúc hệ thống lưu trữ dữ liệu của tủ lạnh Samsung sau khi họ thử sử dụng thiết bị trong một thời gian, trích xuất dữ liệu thu được và đăng một bản sao công khai trên trang web để các nhà nghiên cứu sử dụng.
Steve Watson, Giám đốc điều hành của phòng thí nghiệm, giải thích giải cấu trúc là quy trình tìm kiếm tất cả những nơi mà tủ lạnh có thể lưu trữ dữ liệu, cả bên trong và bên ngoài thiết bị, trong ứng dụng hoặc bộ nhớ đám mây. Epifani bắt tay vào phân tích và thử giành quyền truy cập vào các tệp.
Kết quả là một kho tàng các chi tiết cá nhân. Epifani đã tìm thấy thông tin về các thiết bị Bluetooth gần tủ lạnh, chi tiết tài khoản người dùng Samsung gồm địa chỉ email và mạng Wi-Fi tại nhà. Ngoài ra còn có dữ liệu nhiệt độ, vị trí địa lý, số liệu thống kê hàng giờ về tiêu hao năng lượng. Tủ lạnh cũng lưu trữ dữ liệu về thời điểm người dùng phát nhạc thông qua ứng dụng iHeartRadio.
Epifani thậm chí có thể truy cập các bức ảnh mà chiếc tủ lạnh này chụp đồ ăn bên trong để hiển thị tính năng "nhìn xuyên thấu" mà không cần mở tủ. Nếu người dùng kết nối tủ lạnh với các thiết bị Samsung khác, thông qua tài khoản cá nhân hoặc gia đình, thì lượng dữ liệu càng nhiều hơn, chuyên gia lưu ý. Không chỉ riêng Samsung, các thiết bị IoT nói chung thu thập và lưu trữ các loại dữ liệu tương tự.
Rủi ro lớn cho người dùng
Một lần, VTO Labs đã kiểm tra một bảng mạch từ một chiếc phao trên đại dương nhằm tìm hiểu xem nó có chứa bất kỳ dữ liệu nào về hoạt động vận chuyển của những kẻ buôn bán ma túy hay không. Watson nói rằng bảng mạch đã tiết lộ thông tin liên lạc vệ tinh và cuối cùng là số tài khoản liên quan đến một kẻ buôn lậu.Ngoài những rủi ro về bảo mật và quyền riêng tư, nhiều thiết bị IoT cũng chạy trên các hệ điều hành lỗi thời và do đó kém an toàn hơn vì người dùng hiếm khi cập nhật. “Chẳng ai cập nhật tủ lạnh của họ cả”, Epifani nói.
Đây là vấn đề ngày càng lớn khi trong các ngôi nhà ngày càng nhiều thứ kết nối với Internet. Atlantic đã chỉ ra những dữ liệu mà TV thông minh thu thập từ người xem, MIT Technology Review đã chỉ ra cách máy hút bụi chụp và để lộ ảnh riêng tư trong nhà.
Watson không lo ngại chính phủ hoặc các công ty công nghệ theo dõi người dùng thông qua đồ gia dụng, nhưng lo ngại rằng tất cả các dữ liệu này có thể bị khai thác, tích lũy và mua bán bởi các nhà môi giới dữ liệu.
“Đây là rủi ro mà nhiều người không hiểu. Giả sử một chiếc giường theo dõi giấc ngủ và nhịp tim của người dùng, và công ty giường bán dữ liệu này cho một công ty bảo hiểm, người dùng có thể bị từ chối tiếp cận sản phẩm và dịch vụ nếu bên bảo hiểm nhận thấy có rủi ro", Watson nói, lưu ý thêm rằng chúng ta dần khả năng kiểm soát dữ liệu nào được thu thập, ai đang nắm giữ nó và dùng để làm gì.