Mới nhất
Tiêu điểm
Bình luận
Share
Email
Camera giám sát gia đình tiềm ẩn rủi ro về quyền riêng tư, rò rỉ dữ liệu qua đánh cắp mật khẩu
Hội đồng Người tiêu dùng Hồng Kông đã thử nghiệm tính bảo mật mạng của mười dòng camera giám sát gia đình trên thị trường và nhận thấy rằng chỉ có một mẫu đáp ứng tiêu chuẩn an ninh mạng Âu Châu. Đồng thời, chín mẫu còn lại đặt ra nhiều lo ngại về an ninh mạng, bao gồm việc truyền video và dữ liệu không mã hóa và không thể ngăn chặn việc tin tặc tiến hành “các cuộc tấn công brute-force” để phá mật khẩu.
Ngoài ra, tính bảo mật của việc lưu trữ dữ liệu người dùng có thể được nâng cấp trong nhiều ứng dụng, với một nửa số mẫu được thử nghiệm có thể truy cập các tập tin của người dùng được lưu trữ trong thiết bị thông minh qua ứng dụng Android. Một số ứng dụng thậm chí còn đòi hỏi quá nhiều quyền truy cập.
Người tiêu dùng cũng nên đặt mật khẩu mạnh cho camera giám sát của mình và thay đổi mật khẩu thường xuyên, đồng thời sử dụng tốt các chức năng như tường lửa và giám sát mạng.
Mười mẫu camera giám sát gia đình được thử nghiệm có giá từ 269 HKD đến 1,888 HKD, tất cả đều cung cấp các chức năng như đàm thoại hai chiều, phát hiện chuyển động, nhìn ban đêm, Amazon Alexa, và điều khiển bằng giọng nói Google Assistant. Các mẫu camera được thử nghiệm này đến từ các hãng Arlo, Xiaomi, Imou, TP-Link, BotsLab, Eufy, EZVIZ, SpotCam, D-Link, và Reolink.
Ngoài ra, Hội đồng Người tiêu dùng đã ủy quyền cho một phòng thí nghiệm độc lập kiểm tra thiết kế cương liệu và bảo mật mạng của mười mẫu camera này theo Tiêu chuẩn Âu Châu ETSI EN 303 645 và tiêu chuẩn công nghiệp OWASP MASVS.
Trong số mười camera giám sát, Arlo có tổng số điểm cao nhất với bốn trên năm điểm, trong đó khả năng bảo vệ chống lại các cuộc tấn công, bảo mật truyền dữ liệu, và bảo mật ứng dụng cũng như thiết kế cương liệu đều đạt 5 điểm, nhưng về vấn đề bảo mật lưu trữ dữ liệu thì chỉ được 3 điểm. Giá thành của chiếc camera này cũng ở mức cao nhất là 1,888 HKD trong số các mẫu.
Chín mẫu còn lại đều có một khe cắm thẻ nhớ micro-SD, có thể cắm vào để lưu trữ video.
5 dòng máy truyền dữ liệu không được mã hóa
Hội đồng cho biết việc phát video trực tiếp đến thiết bị di động thông qua ứng dụng cho phép người dùng theo dõi trạng thái thời gian thực.
Bốn mẫu camera được thử nghiệm không sử dụng Giao thức Truyền tải Thời gian Thực An toàn (Secure Real-Time Transport Protocol, SRTP) khi phát trực tiếp, giao thức này có thể cung cấp mã hóa dữ liệu và xác thực tin nhắn. Thay vào đó, họ sử dụng Giao thức Truyền tải Thời gian Thực (RTP) kém an toàn hơn, dữ liệu video không được mã hóa trong quá trình này.
Bốn mẫu đó là Imou (Model: IPC-F88FIP-V2), TP-Link (Model: Tapo C210), EZVIZ (Model: CS-C6), và D-Link (Model: DCS-8350LH).
Ngoài ra, Reolink (Model: Argus 3 Pro) sử dụng Giao thức Truyền tải Siêu văn bản (HTTP) để truyền dữ liệu khi kết nối với mạng Wi-Fi của người dùng mà không mã hóa dữ liệu nhạy cảm, nên tin tặc có thể tìm thấy thông tin tài khoản của bộ định tuyến từ các tệp văn bản thông thường.
Hội đồng Người tiêu dùng khuyến nghị các nhà sản xuất chuyển sang Giao thức Truyền tải Siêu văn bản Bảo mật (HTTPS) an toàn hơn để cung cấp khả năng bảo vệ tối ưu cho người dùng.
4 dòng máy không thể chống lại các cuộc tấn công bẻ khóa
Thử nghiệm cho thấy ba mẫu có thể bị bẻ khóa bằng cách sử dụng các công cụ và chương trình tự động lặp đi lặp lại (các cuộc tấn công brute-force) để kiểm tra toàn bộ các kết hợp mật khẩu có khả năng là thật trong quá trình phát trực tiếp hình ảnh chuyển động.
Mật khẩu mặc định của EZVIZ và D-Link chỉ có sáu chữ số hoặc chữ cái, có mức độ an toàn rất thấp và dễ bị bẻ khóa. Eufy (Model: T8441X) cũng có thể bị bẻ khóa.
Hội đồng này đã đề cập rằng mẫu SpotCam (Model: Solo 2) không có giới hạn về số lần tin tặc có thể đăng nhập bằng ứng dụng điện thoại di động để lấy thông tin tài khoản.
Hội đồng khuyến nghị rằng các nhà sản xuất của bốn sản phẩm này nên tích hợp các thiết kế chống tấn công brute-force, chẳng hạn như xác thực đa yếu tố và hạn chế số lần nhập mật khẩu.
Mật khẩu tạm thời có hiệu lực khi đăng nhập lại tài khoản trên 3 dòng máy
Mỗi lần người dùng đăng nhập để kết nối với camera, một biểu tượng khóa hội thoại tương đương với mật khẩu tạm thời sẽ được sử dụng. Khóa hội thoại này sẽ hết hạn sau khi ngắt kết nối và người dùng sẽ sử dụng một chiếc khóa hội thoại mới khi đăng nhập lại.
Tuy nhiên, kết quả kiểm tra cho thấy khi đăng nhập lại các mẫu BootsLab (Model: P4 Pro), SpotCam, Reolink để kết nối lại với camera thì khóa hội thoại đã sử dụng cho lần kết nối trước đó vẫn còn hiệu lực. Nếu tin tặc đánh cắp được khóa hội thoại cũ, thì họ có thể kết nối với camera đó và xem hình ảnh.
Sau khi đăng xuất khỏi tài khoản hoặc đăng nhập vào tài khoản khác trong cùng một ứng dụng điện thoại di động, vẫn có thể nhìn thấy hình ảnh trực tiếp của camera giám sát trên Reolink khi kết nối với tài khoản đã đăng xuất, một lỗ hổng bảo mật.
Việc lưu trữ ứng dụng trong tất cả các mẫu đều không bảo đảm an toàn dữ liệu
Thông tin nhạy cảm như địa chỉ thư điện tử, tên tài khoản, hoặc mật khẩu được lưu trữ trong các tệp văn bản thông thường mà không cần mã hóa. Các thông tin liên quan sẽ chỉ bị xóa sau một thời gian nhất định, điều này tiềm ẩn những rủi ro.
Ngoài ra, trình duyệt nhúng trên phiên bản Android của 5 mẫu không chặn quyền truy cập vào các tệp, bao gồm Imou, TP-Link, Eufy, EZVIZ, và D-Link, cho phép tin tặc truy cập các tệp trong thiết bị bằng cách chèn mã. Ngoài ra, có 5 mẫu ứng dụng điện thoại có quyền truy cập quá mức và dữ liệu bên trong thiết bị có thể bị rò rỉ, bao gồm Xiaomi Mi (Model: MJSXJ09CM), Imou, BotsLab, Eufy, và EZVIZ.
Hội đồng cũng chỉ ra rằng phiên bản Android của BootsLab sử dụng Tiêu chuẩn Mã hóa Dữ liệu (DES) đã lỗi thời với độ dài khóa tương đối ngắn, chỉ 56 bit.
Học giả CityU: Chỉ có thể trông cậy vào nhà sản xuất để nâng cao chất lượng sản phẩm
Ông Tăng Kiếm Phong (Tsang Kim Fung), Phó Giáo sư Khoa Kỹ thuật Điện tử tại Đại học Thành phố Hồng Kông (CityU), tin rằng một số mẫu có vấn đề an ninh mạng nghiêm trọng hơn, chẳng hạn như truy cập máy chủ trái phép, truyền dữ liệu không an toàn, và mã hóa dữ liệu không an toàn, có thể gây ra những rủi ro chẳng hạn như rò rỉ thông tin riêng tư và rò rỉ dữ liệu điện thoại di động.
Tuy nhiên, thiết kế sản phẩm và ứng dụng của camera giám sát gia đình là trách nhiệm của nhà sản xuất và người tiêu dùng chỉ có thể trông cậy vào nhà sản xuất để cải thiện chất lượng sản phẩm.
Hội đồng nhắc nhở người tiêu dùng cảnh giác với những điều sau đây khi lựa chọn và sử dụng các loại camera giám sát gia đình.
Người tiêu dùng nên tránh mua sản phẩm không có thương hiệu hoặc không rõ nguồn gốc xuất xứ. Họ chỉ nên mở ứng dụng và kích hoạt camera khi cần giám sát. Ngoài ra, họ nên đặt một mật khẩu đủ mạnh, chẳng hạn như có độ dài không dưới tám ký tự. Mật khẩu này cũng nên có cả chữ hoa lẫn chữ thường, số, và ký tự đặc biệt.
Mật khẩu cũng nên được thay đổi thường xuyên. Nếu camera giám sát được cài đặt và thiết lập bởi người cung cấp dịch vụ tận nhà, hãy thay đổi mật khẩu ngay sau khi cài đặt xong.
Hồng Ân biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times
