Đồng hồ thông minh cho trẻ em có thể bị tội phạm tấn công

Thứ Sáu, 23/11/2018, 10:20
Các chuyên gia bảo mật cảnh báo một chiếc đồng hồ thông minh có thể bị hack rất dễ dàng để theo dõi mọi chuyển động của đứa trẻ. Trong đó phần mềm Watcher Plus của đồng hồ MiSafes là một tiện ích dựa trên GPS được sử dụng bởi hàng ngàn phụ huynh ở Anh để theo dõi con cái và nói chuyện từ xa.

Các nhà nghiên cứu phát hiện một số lỗ hổng bảo mật nghiêm trọng trong sản phẩm, bao gồm cả việc sử dụng dữ liệu không được mã hóa.

Các lỗ hổng có nghĩa là tin tặc có thể tải xuống phần mềm để theo dõi chuyển động của một đứa trẻ, lắng nghe cuộc trò chuyện đồng thời thực hiện cuộc gọi đến giả vờ là từ cha mẹ. Ken Munro, chuyên gia bảo mật của công ty công nghệ Anh Pen Test Partners và người phát hiện lỗ hổng an ninh, đánh giá: "Chúng tôi bị sốc trước phát hiện chiếc đồng hồ thông minh cho trẻ em dễ bị hack như thế nào".

Ken Munro tiết lộ ông có thể truy cập các chi tiết cá nhân đứa trẻ bao gồm ảnh, tên, ngày tháng năm sinh, giới tính, cân nặng và chiều cao. Đồng hồ thông minh MiSafes - ra mắt lần đầu tiên năm 2015 - bao gồm chức năng GPS cập nhật trong thời gian thực và theo dõi các vị trí trước đó cho phép cha mẹ biết con mình ở đâu mọi lúc thông qua ứng dụng. Đồng hồ cũng cho phép cha mẹ nghe những gì con họ đang nói và thực hiện cuộc gọi. Các chuyên gia bảo mật đã cố gắng liên lạc với công ty sản xuất để cảnh báo họ về lỗ hổng an ninh song không nhận được phản hồi.

Mẫu đồng hồ thông minh MiSafes cho trẻ em từ 3 tuổi.

Alex Neill, giám đốc quản lý các sản phẩm và dịch vụ gia đình, bình luận: "Sản phẩm đồng hồ được bán trên thị trường giúp trẻ em an toàn hơn, vì vậy cha mẹ sẽ bị sốc nếu chúng thực sự khiến con trẻ gặp nguy hiểm do an ninh kém chất lượng. Tiện ích thông minh có thể mang lại lợi ích to lớn cho cuộc sống hàng ngày của chúng tôi, nhưng an toàn và bảo mật phải là ưu tiên tuyệt đối". Đó là lý do mà các chuyên gia bảo mật khuyên bậc cha mẹ không nên mua đồng hồ thông minh MiSafes để giám sát con cái.

Theo tiết lộ điều tra giới nghiên cứu bảo mật, các loại đồng hồ hoàn toàn không có hệ thống mã hóa thực sự an toàn để bảo vệ dữ liệu khi được truyền tải qua Internet. Họ cũng tuyên bố rằng không có tính năng bảo mật trên tài khoản của đứa trẻ. Kết quả là mọi người có thể truy cập vào ảnh tiểu sử của đứa trẻ, tên, ngày sinh cũng như giới tính. Ngoài ra, tin tặc cũng có thể khai thác số điện thoại của cha mẹ và của chính thiết bị "thông minh". Tin tặc có thể sử dụng thẻ SIM trong đồng hồ để thực hiện cuộc gọi với chi phí của chủ sở hữu.

Pen Test Partners cũng nhận ra rằng tin tặc thậm chí còn can thiệp vào cấu hình đồng hồ để thiết bị phát đi cảnh báo đến họ mỗi khi đứa trẻ đến một khu vực cụ thể nào đó. Giới nghiên cứu cũng cho biết 53 thương hiệu đồng hồ thông minh khác bị ảnh hưởng bởi các vấn đề tương tự. Theo Pen Test Partners, có khoảng 14.000 thiết bị MiSafes đang được sử dụng hiện nay.

Các chuyên gia bảo mật có thể can thiệp vào đồng hồ MiSafes để thực hiện cuộc gọi từ cha mẹ.

Nhớ lại hồi tháng 10-2017, Hội đồng Người tiêu dùng Na Uy (NCC), đặt trụ sở tại thành phố Oslo nước này, phát đi cảnh báo những mẫu đồng hồ thông minh thiết kế cho trẻ em - như là Xplora, Gator và Viksfjord - thường bộc lộ nhiều lỗ hổng cho phép hacker tấn công đánh cắp dữ liệu. Sau khi thử nghiệm 2 nhãn hiệu đồng hồ Gator và GPS for Kids, NCC phát hiện những điểm yếu cho phép hacker theo dõi, nghe lén và thậm chí giao tiếp với người mang.

Đồng hồ thông minh cho phép bậc cha mẹ tiếp xúc với con cái cũng như giám sát định vị. Một số tính năng khác như là phát tín hiệu cấp cứu SOS cũng xuất hiện trên đồng hồ thông minh. NCC lo ngại đồng hồ Gator và GPS for Kids truyền và lưu trữ dữ liệu mà không được mã hóa cho nên hacker chỉ cần sử dụng những kỹ thuật cơ bản nhất cũng có thể dễ dàng chiếm quyền điều khiển thiết bị.

Alex Neill, người phát ngôn cho NCC, bình luận: "An ninh là ưu tiên hàng đầu. Nếu không bảo đảm an ninh thì sản phẩm không nên được bán ra thị trường". Đáp lại cánh báo của NCC, GPS for Kids đã có biện pháp vá những lỗ hổng trên những mẫu đồng hồ mới và khách hàng đã mua sản phẩm sẽ nhận được bản cập nhật riêng.

Còn Gator đã chuyển dữ liệu đồng hồ đến hệ thống máy chủ mã hóa mới đồng thời phát triển một số ứng dụng mới an toàn hơn cho người tiêu dùng nhỏ tuổi. Riêng nhà bán lẻ Anh John Lewis đã thu hồi một mẫu đồng hồ đã bán ra thị trường.

Duy Ân (tổng hợp)
.
.