Thiết bị IoT – công cụ tiếp tay cho hacker

Bé gái 8 tuổi hoảng hốt tìm kẻ đột nhập vào phòng ngủ của mình. Cô nghe rõ tiếng hắn chơi bài hát Tiptoe Through the Tulips rất kỳ quái, nhưng lại không nhìn thấy.

“Ai vậy?”, cô hỏi. “Ta là bạn thân nhất của cháu đây. Cháu có thể làm bất cứ điều gì cháu muốn. Lục tung căn phòng, hay đập vỡ TV. Tùy cháu”, hắn nói.

Cô như sắp khóc, gọi “Mẹ ơi”. Nhưng bố mẹ cô có đến cũng không thể tìm ra kẻ đột nhập. “Ta là ông già Noel đây”, hắn nói. “Con không muốn làm bạn với ta sao?”.

Đó không phải một phân cảnh trong một bộ phim kinh dị của Hollywood nào cả. Đó là điều đã xảy ra đối với Alyssa LeMay – cô gái 8 tuổi ở vùng ngoại ô Mississippi, Mỹ – tháng 12 năm ngoái. Kẻ đột nhập không hề ẩn nấp trong phòng của Alyssa, hắn tấn công vào camera giám sát có kết nối Internet mà cha mẹ cô gắn trong phòng để kiểm tra cô và 3 anh chị em khác. Hắn đã đe dọa cô qua chiếc loa của camera.

Sau khi đã ngắt kết nối với chuông cửa an ninh, bà Ashley, mẹ của Alyssa, cho hay bà rất hối tiếc vì đã không tăng cường hệ thống an ninh. “Tôi khiến lũ trẻ rơi vào tình thế nguy hiểm và giờ tôi không biết phải làm gì để chữa lành vết thương tâm hồn chúng”, bà nói.

Điều tương tự cũng có thể xảy ra bất cứ nơi đâu.

Thông qua lỗ hổng trên một thiết bị, hacker có thể điều khiển các thiết bị khác trong cùng mạng lưới. Ảnh: TheIoTPad.

Thông qua lỗ hổng trên một thiết bị, hacker có thể điều khiển các thiết bị khác trong cùng mạng lưới. Ảnh: TheIoTPad.

Một tháng sau, tại Port Talbot, Wales, một người đàn ông 38 tuổi tên Paul Davies và gia đình nghe thấy một giọng nói bên ngoài cửa chính, nhưng không hề có ai trước cửa. Sau đó, điện thoại của Davies đổ chuông, giọng một người đàn ông vang lên: “Tôi đang chờ ông phía bên ngoài nhà. Nếu không ra, tôi sẽ lấy trộm chiếc xe”.

Khi hắn đòi gặp ba đứa trẻ nhà Davies, mọi thứ đã vượt quá tầm kiểm soát. Tuy nhiên, kẻ lạ mặt không hề xuất hiện. Thực tế, hắn đột nhập vào hệ thống camera của chuông cửa thông minh và theo dõi hoạt động trong nhà nạn nhân từ xa.

Tại Portland, Oregon (Mỹ), một gia đình nhận được cuộc gọi từ một người bạn, thúc giục họ ngắt kết nối Echo, loa thông minh kích hoạt bằng giọng nói, của Amazon – thứ có thể điều khiển hệ thống đèn điện, sưởi và an ninh của ngôi nhà. “Cậu đang bị hack đó”, người bạn cảnh báo. “Làm sao anh biết?” Câu trả lời là trợ lý ảo trong Echo, vốn chỉ hoạt động khi người dùng nói “Alexa”, đã bí mật ghi lại toàn bộ cuộc hội thoại trong gia đình và gửi ngẫu nhiên các bản thu âm tới người bạn của họ.

Người mẹ chia sẻ: “Tôi bị xâm phạm quyền riêng tư hoàn toàn. Tôi không tin tưởng Echo nữa và sẽ không bao giờ sử dụng thêm lần nào nữa”.

Một số loa thông minh của Amazon, Apple... bị tố ghi âm các cuộc trò chuyện của người dùng mà không xin phép. Ảnh: AISmarthome.

Một số loa thông minh của Amazon, Apple… bị tố ghi âm các cuộc trò chuyện của người dùng mà không xin phép. Ảnh: AISmarthome.

Thiết bị IoT nguy hiểm hay tiện lợi?

Tất cả tình huống trên đều có một điểm chung: Các thiết bị thông minh mà họ lắp đặt đều là một phần của Internet vạn vật (Internet-Of-Thing – IoT), một thuật ngữ miêu tả thế giới nơi hầu hết mọi thứ đều kết nối và liên kết với nhau thông qua các mạng lưới nhằm giúp cuộc sống dễ dàng, an toàn và thuận tiện hơn.

Các thiết bị thông minh trong nhà có thể “học” từ các chuyển động hay sở thích của bạn để điều chỉnh nhiệt độ, ánh sáng và cả âm nhạc. Cảm biến trong tủ lạnh thông minh có thể nhận biết khi bạn hết dần đồ ăn thức uống để tự đặt hàng. Với điện thoại thông minh, bạn có thể khởi động máy giặt được kết nối mạng – mà sau này nó còn có thể tự đặt mua bột giặt khi hết. Chưa hết, lò nướng thông minh tự hâm nóng đồ ăn khi ôtô báo bạn đang trên đường về. Máy pha cafe cũng chuẩn bị sẵn sàng ngay khi bạn bước chân vào cửa.

Nhiều người đang sử dụng thiết bị thông minh nhưng không nhận ra mà thôi. Ví dụ, khi bạn mua một bộ cân điện tử thông minh và kết nối chúng với ứng dụng trên điện thoại để theo dõi cân nặng, đo mạch…, bạn đang sử dụng hệ thống kết nối IoT. Bạn sẽ sớm nhận ra điều này khi điện thoại của bạn tràn ngập quảng cáo về sản phẩm chăm sóc sức khỏe.

Đưa ra đánh giá về mức độ IoT đang ảnh hưởng tới đời sống xã hội là vô cùng khó. Một báo cáo được công bố bởi công ty nghiên cứu công nghệ Transforma Insights vào tháng 5 cho hay có 7,6 tỷ thiết bị IoT hoạt động trên toàn cầu vào năm 2019. Tuy nhiên, theo một nhóm nghiên cứu của Gartner, con số đó 20 tỷ, tạo ra nguồn thu 2.000 tỷ USD một năm.

Nguồn thu khổng lồ kể trên đã khiến xuất hiện các vấn đề, như vụ đột nhập vào phòng ngủ của Alyssa. Nhiều nhà sản xuất, nếu không muốn nói là hầu hết, vì muốn đẩy nhanh quá trình giới thiệu sản phẩm IoT của riêng mình để giành lấy một phần từ miếng bánh 2.000 tỷ USD kia, đã coi nhẹ vấn đề bảo mật của sản phẩm.

Adam Laurie, Trưởng nhóm hacker phần cứng tại X-Force Red của IBM, một đội ngũ chuyên tìm ra chính xác những lỗ hổng trong an ninh mạng, cho biết: “Vấn đề nằm ở chỗ các công ty sản xuất các thiết bị IoT thường không có kinh nghiệm về Internet cũng như hệ thống an ninh cần thiết để bảo đảm an toàn cho khách hàng của họ”.

Mối nguy hiểm lớn nhất đối với một mạng lưới IoT là khi một thiết bị được cài đặt với tên người dùng và mật khẩu mặc định không thể thay đổi, hoặc người dùng không bận tâm tới việc thay đổi chúng. Điều này có thể gây ra hậu quả khôn lường nếu hacker chia sẻ thông tin về mật khẩu mặc định trên các thiết bị cũng như sự giống nhau về tên người dùng/mật khẩu thông dụng, như support/support, admin/admin, default/default và root/root, hay không điền gì.

Năm ngoái, công ty bảo mật Internet Avira đã tạo một thiết bị IoT làm mồi nhử để thu hút hacker để xem chúng sẽ sử dụng những tổ hợp tên người dùng/mật khẩu nào. Hamidreza Ebtehaj, một phân tích viên về hiểm họa không gian mạng tại Avira, cho biết: “Cách hacker thử phổ biến nhất là để trống, nghĩa là không nhập gì vào phần tên người dùng và mật khẩu”. Tổ hợp khoảng trống được sử dụng để xâm nhập chiếm 25,6% số lần thử.

Với hàng tỷ thiết bị và chỉ có một vài tên hacker lập dị, bạn sẽ nghĩ là khả năng ngôi nhà của bạn bị chọn để tấn công là rất nhỏ. Không phải vậy. Hiểm họa đang tăng lên theo cấp số nhân. Trong các thử nghiệm tiến hành nửa đầu năm 2019, công ty phần mềm chống virus Kaspersky đã phát hiện ra 105 triệu cuộc tấn công nhắm vào các thiết bị IoT từ 276.000 địa chỉ IP riêng lẻ. Mức tăng 900% so với năm trước.

Mới đây, công ty phần mềm an ninh mạng Trend Micro đã phát hiện chỉ cần một thiết bị không đảm bảo an toàn được kết nối với mạng lưới chung, tất cả thiết bị thông minh khác có thể bị hacker tấn công. Nhà nghiên cứu Ziv Chang của Trend Micro nêu trong báo cáo: “Bắt đầu từ cửa chính, nơi có thể lắp khóa thông minh. Nếu bị xâm nhập, khóa thông minh có thể mất quyền kiểm soát vào tay hacker. Khi ấy, hầu hết hacker sẽ để cho kẻ đột nhập hoặc đồng phạm lẻn vào nhà, ngoài ra chúng còn khóa cửa để nhốt chính thành viên trong gia đình”.

“Bên trong phòng khách có thể cài đặt các thiết bị khác nữa, chẳng hạn loa thông minh, thiết bị đóng vai trò truyền lệnh tới các thiết bị khác trong nhà. Nếu bị tấn công, một thiết bị được kích hoạt bằng giọng nói như loa thông minh có thể bị hacker lợi dụng làm thiết bị để ra lệnh”, ông mô tả. Trong nhà bếp, tủ lạnh và máy pha cà phê thông minh cũng có thể gây ra các vấn đề nghiêm trọng nếu bị chiếm quyền kiểm soát. Hacker có thể khiến tủ lạnh thông minh thiết lập sai ngày hết hạn hoặc đặt hàng trực tuyến một số lượng lớn hàng hóa không cần thiết. Máy pha cà phê thông minh cũng gây ra vô số bất tiện nếu bị hacker ra lệnh pha cà phê liên tục.

Các thiết bị thông minh còn có thể được lắp ngay trong phòng tắm, phổ biến nhất là bồn cầu thông minh. Thiết bị này có nhiều tính năng khác nhau, như cảm biến lượng nước phù hợp để xả chất thải, khá hữu ích cho người sử dụng. Nhưng khi bị tấn công, hacker sẽ dụng một vài tính năng của bồn cầu để khiến nó xả nước liên tục hoặc để nước chảy liên tục từ bồn vệ sinh.

Tại sao có những kẻ muốn làm điều này?

Theo Bharat Mistry, chiến lược gia bảo mật tại Trend Micro, có rất nhiều động cơ cho việc này. Điều dễ nhận thấy nhất là gây phiền toái cho gia chủ, nhưng vẫn còn một mục đích sâu xa hơn: Để lấy cắp các thông tin khác, như chi tiết tài khoản ngân hàng của bạn, hoặc tận dụng các tài khoản mà bạn liên kết để mua sắm trực tuyến và sử dụng nó để đặt hàng, sau đó giao hàng tới nơi khác.

“Các băng nhóm có thể nhắm tới một ngôi nhà có kết nối IoT và sử dụng nó cho các cuộc đột nhập định sẵn. Bộ định tuyến của nhà bạn có thể bị xâm nhập, sau đó hacker sẽ dùng nó cùng với bộ định tuyến trong hàng trăm nghìn ngôi nhà khác, để tạo thành một mạng botnet – giống một đội quân ảo được điều khiển từ xa. Bằng cách đó, với một thao tác chuyển đổi, hacker có thể tấn công một công ty với lưu lượng truy cập Internet lớn đến nỗi trang web của họ sẽ bị sập”, Mistry nói.

“Đây được gọi là tấn công từ chối dịch vụ và nó có thể được sử dụng nhằm tống tiền kỹ thuật số. Chúng tôi đã từng chứng kiến những trường hợp các tổ chức được thông báo ‘Trả cho chúng tôi số tiền này hoặc trang web sẽ bị đánh sập’. Nếu công ty không trả tiền đúng hạn, hacker sẽ phát động cuộc tấn công”, Mistry cho hay.

Đó mới chỉ là những lo ngại về vấn đề bảo mật. Ngoài ra vẫn còn các vấn đề nghiêm trọng khác về tính riêng tư, không chỉ bởi các thiết bị này theo dõi bạn trong chính ngôi nhà của mình, mà còn ảnh hưởng tới thông tin mà hacker thu thập được rồi gửi lại cho các nhà sản xuất hoặc nhà cung cấp dịch vụ.

Năm ngoái, các nhà báo tại Bloomberg đưa tin Amazon thuê hàng nghìn người để phiên âm các bản ghi âm của người dùng Echo để cải thiện khả năng hiểu lời nói của trợ lý ảo Alexa và nắm bắt nhu cầu của khách hàng. Không ai trong số hơn 100 triệu người đã mua Echo được báo trước về tính năng này của thiết bị.

Công ty cho biết các công nhân không thể nào biết ai đang nói và vì thế kết quả được giấu nhẹm. Tuy nhiên, theo Bloomberg, dù cho những người phiên âm cho Alexa không thể nhìn thấy tên đầy đủ và địa chỉ của người sử dụng trên các bản ghi mà họ phiên âm, họ vẫn có thể thấy số tài khoản, số sê-ri thiết bị và họ của người dùng. Chừng đó là đủ để xác định danh tính của bạn.

Thông tin thu thập về bạn bởi các thiết bị IoT còn có giá trị với các nhà cung cấp dịch vụ và nhà quảng cáo. Càng biết nhiều về bạn, họ càng quảng cáo hiệu quả hơn để khuyến khích bạn mua sắm.

Về mặt bảo mật, các sản phẩm IoT phần lớn không được kiểm soát và dễ bị lạm dụng hàng loạt, không ngừng.

John Moor, Giám đốc điều hành của IoT Security Foundation, đơn vị giám sát các tiêu chuẩn và bảo mật sản phẩm, cho biết không có tiêu chuẩn về độ an toàn của các sản phẩm IoT. Năm ngoái, cùng với Trung tâm An ninh mạng quốc gia, chính phủ Anh đã đưa ra đề xuất về luật đảm bảo tất cả sản phẩm IoT phải có mật khẩu riêng và không thể thay đổi về mặc định; các nhà sản xuất phải cung cấp các nền tảng mà công chúng có thể báo cáo lỗi; các nhà sản xuất phải nêu rõ họ sẽ cung cấp các bản cập nhật bảo mật cho mỗi thiết bị IoT trong bao lâu.

EU cũng đang bắt đầu ngồi lại và họp bàn về cách thức các công ty dữ liệu lớn có thể khai thác để chiếm thị trường trong các dịch vụ liên kết với thiết bị của họ. Ủy ban châu Âu gần đây đã thiết lập một cuộc điều tra về cạnh tranh chống độc quyền trong lĩnh vực này.

Margrethe Vestager, Ủy viên châu Âu phụ trách chính sách cạnh tranh IoT, cho biết “Internet vạn vật” sẽ phát triển đáng kể những năm tới và ngày càng phổ biến trong cuộc sống hàng ngày của người châu Âu. Hãy tưởng tượng tủ lạnh thông minh tự lập danh sách hàng tạp hóa, bạn dùng danh sách đó để đặt hàng. Hàng được chuyển đến trước nhà và cửa sẽ tự động mở… Các khả năng dường như vô tận.

“Quyền truy cập vào lượng lớn dữ liệu người dùng là chìa khóa để thành công trong lĩnh vực này, vì vậy, chúng tôi phải đảm bảo các hãng tham gia trên thị trường không sử dụng quyền kiểm soát của họ với dữ liệu đó để bóp méo sự cạnh tranh hoặc đóng cửa thị trường với đối thủ cạnh tranh”.

Dẫu vậy, người dùng thiết bị IoT phải đánh đổi giữa quyền riêng tư, bảo mật với sự tiện lợi. Chỉ người dùng mới biết được sự đánh đổi đó có xứng đáng hay không.

Đức Anh (theo SCMP)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *