Một báo cáo cho thấy một tá thiết bị được kết nối đang mở cho một số vấn đề về bảo mật và quyền riêng tư.
Các nhà nghiên cứu đang làm nổi bật bản chất không an toàn của các thiết bị Internet of Things trong một báo cáo được công bố hôm thứ ba với cáo buộc một loạt các thiết bị kết nối tiêu dùng phổ biến được bán tại các nhà bán lẻ lớn như Walmart và Best Buy và đang gặp vấn đề về bảo mật và quyền riêng tư.
Khi phân tích 12 thiết bị IoT khác nhau, các nhà nghiên cứu với Dark Cubed và Pepper IoT đã báo cáo các lỗi bảo mật xuất phát từ việc thiếu mã hóa dữ liệu và thiếu xác thực chứng chỉ mã hóa.
Dark Cubed nói rằng họ đã không liên hệ với các nhà sản xuất thiết bị được liệt kê trong báo cáo trước khi xuất bản.
Các nhà nghiên cứu cho biết, các nhà sản xuất và nhà bán lẻ dường như không nắm bắt được tất cả các lỗi bảo mật, thay vào đó chúng tôi thấy rằng các nhà sản xuất và nhà bán lẻ thậm chí không xem xét đến bảo mật. Cái này phải thay đổi ngay hôm nay nếu chúng ta có hy vọng được an toàn vào ngày mai.
Các nhà nghiên cứu đã kiểm tra các thiết bị IoT, bao gồm máy ảnh thông minh, phích cắm và hệ thống bảo mật, từ các nhà sản xuất: iHome, Merkury, Momentum, Oco, Practiceecol, TP-Link, Vivitar, Wyze và Zmodo. Các thiết bị được mua từ các nhà bán lẻ nổi tiếng Walmart, Best Buy, Amazon và Micro Center.
Các nhà nghiên cứu cho biết họ đã phân tích cụ thể chính sách bảo mật của thiết bị để hiểu nơi dữ liệu được chia sẻ; giám sát giao thông và mô hình truyền thông; thu thập dữ liệu gói đầy đủ để đánh giá thủ công thông tin liên lạc; và thực hiện phân tích các ứng dụng Android bổ sung của thiết bị.
Vấn đề an ninh
Các nhà nghiên cứu cho rằng một số thiết bị mà họ nhìn vào được thiết kế trên các nền tảng không sử dụng hoàn toàn mã hóa để truyền thông tin hoặc sẽ cho phép bất cứ ai bỏ qua mã hóa do triển khai kém.
Chẳng hạn, các nhà nghiên cứu khẳng định các thiết bị Merkury mà họ đã xem xét không mã hóa lưu lượng truy cập trên mạng, giúp các nhà nghiên cứu hiển thị đầy đủ tên của hàng đợi được sử dụng bởi mỗi thiết bị, cũng như tên người dùng và mật khẩu cần thiết để truy cập vào các hàng đợi đó.
Các nhà nghiên cứu chắc chắn lo ngại về các thiết bị, tuy nhiên chúng tôi nghi ngờ rằng các vấn đề bảo mật mà chúng tôi tìm thấy là đại diện cho thực tế là các công ty này không coi bảo mật đủ quan trọng để thậm chí tiến hành đánh giá bảo mật cho các thiết bị này.Các thiết bị được kết nối từ Guardzilla và Zmodo không xác nhận liệu các chứng nhận mã hóa cho thông tin liên lạc được mã hóa có hợp lệ hay không. Các thiết bị Guardzilla chứa mật khẩu mã hóa mặc định, theo các nhà nghiên cứu.
Những loại sai sót trong thiết kế có ý nghĩa nguy hiểm. Trên thực tế, trong số chín nhà sản xuất IoT đã phân tích, sáu trong số đó được cho là các thiết bị có tính năng dễ bị tấn công giữa chừng, nơi dữ liệu truyền giữa hai bên có thể bị chặn và thao túng.
Không phải tất cả các sản phẩm được đưa ra không an toàn. Trên thực tế, các nhà nghiên cứu nhấn mạnh rằng iHome Smart Outlet, Momentum Axel Camera và TP-Link Kasa Smart Outlet đều là những thiết bị được phát triển tốt, an toàn và chắc chắn mà không có thông tin liên quan nào được xác định.
Lỗ hổng bảo mật
Quyền riêng tư dữ liệu được thu thập và truyền giữa các thiết bị IoT và các ứng dụng bổ sung của chúng là một nguyên nhân khác được các nhà nghiên cứu nhấn mạnh.
Chẳng hạn, mặc dù bóng đèn Merkury không có quá nhiều tính năng – thiết bị IoT này chỉ bật và tắt đèn. Tuy nhiên, bản thân ứng dụng bổ sung của nó đã yêu cầu một số lượng đáng kể các quyền như biết vị trí của bạn mọi lúc, ghi lại âm thanh và đọc và ghi vào bộ nhớ ngoài trên điện thoại của bạn, các nhà nghiên cứu cho biết.
Các ứng dụng Merkury cũng có các liên kết được mã hóa cứng đến 40 trang web của bên thứ ba trong mã ứng dụng để bao gồm cả các thực thể có trụ sở tại Hoa Kỳ và Trung Quốc như Alibaba, Taobao, QQ, Facebook, Twitter và Weibo – có lẽ dành cho mục đích quảng cáo, các nhà nghiên cứu báo cáo.
Rất nhiều ứng dụng được yêu cầu hoặc ít nhất là yêu cầu quyền sử dụng vị trí để sử dụng ứng dụng này, theo ông Vreat Crisler, CEO của Dark Cubed. Ví dụ, ứng dụng Android với bóng đèn Merkury yêu cầu quyền truy cập vị trí để thậm chí hoạt động. Và ứng dụng đã được quan sát thấy việc gửi dữ liệu đến các máy chủ ở Trung Quốc, nhưng chúng tôi không rõ thông tin nào được gửi do mã hóa.
Trong trường hợp camera an ninh gia đình do Zmodo Camera chế tạo, các nhà nghiên cứu có thể quan sát giao tiếp được thực hiện đến và từ camera bao gồm hình ảnh, video, ngày sinh, địa chỉ email và số điện thoại. Trong khi kiểm tra các cửa hàng thông minh và bóng đèn do Merkury thực hiện, các nhà nghiên cứu có thể quan sát tất cả các hành động được thực hiện để bật và tắt thiết bị.
Hướng dẫn chính sách quyền riêng tư là một khía cạnh khác: Theo các nhà nghiên cứu, các công ty như Merkury và Vivitar có chính sách quyền riêng tư quá rộng rãi và không hạn chế.
Các nhà nghiên cứu của Pepper IoT nhấn mạnh rằng những vấn đề này mang tính hệ thống và không thể khắc phục chỉ bằng cách vá.
Trong khi các công ty chắc chắn có thể vá các thiết bị của họ để khắc phục nhiều vấn đề chúng tôi tìm thấy, thì vấn đề nghiêm trọng hơn nhiều: nhiều công ty sản phẩm không quan tâm đến bảo mật và chỉ hành động khi người ngoài tìm thấy vấn đề, họ nói. Cách tiếp cận phản ứng này không hiệu quả, bảo mật phải được chủ động.
Tương lai của IoT
Trong khi các vấn đề vẫn tồn tại trong nhiều năm, bảo mật IoT đã được nhấn mạnh khi botnetMirai 2016 thực hiện một cuộc tấn công từ chối dịch vụ phân tán (DDoS) thông qua 300.000 thiết bị IoT dễ bị tổn thương. Gần đây, các hoạt động tấn công tiềm năng đang sinh sôi nảy nở. Chẳng hạn, các thiết bị Google Home, phích cắm thông minh và khóa móc thông minh gần đây đã được chú ý vì các lỗi bảo mật.
Các nhà nghiên cứu chỉ ra các vấn đề bảo mật IoT chỉ trở nên tồi tệ hơn – không tốt hơn. Trong nửa đầu năm 2018, các nhà nghiên cứu tại Kaspersky Lab cho biết họ đã thu thập được số lượng mẫu phần mềm độc hại nhiều hơn gấp ba lần so với các thiết bị IoT như họ đã làm trong toàn bộ năm 2017.
Một hóa đơn internet có thể ủy quyền mật khẩu duy nhất cho các thiết bị được kết nối đã được cơ quan lập pháp tiểu bang California phê duyệt vào tháng 9. Dự luật (SB-327) yêu cầu tính năng bảo mật hợp lý hoặc các tính năng phù hợp với tính chất và chức năng của thiết bị, tuy nhiên, các nhà nghiên cứu cho biết cần phải thực hiện nhiều hơn để điều chỉnh và kiểm soát bảo mật IoT.