Theo Bloomberg, Rapid7 Inc., một công ty an ninh mạng có trụ sở ở Boston, Mỹ đã mua ba chiếc đồng hồ thông minh trên Amazon.com với giá từ 20 đến 35 USD/chiếc. Người đứng đầu bộ phận công nghệ IoT của công ty, Deral Heiland nói những mẫu mã này tên là GreaSmart Children’s SmartWatch, Jsbaby Game Smart Watch và SmarTurtle Smart Watch for Kids. Chúng được lựa chọn ngẫu nhiên từ hàng tá sản phẩm đang giảm giá trên Amazon và được quảng cáo là phù hợp cho trẻ em ở độ tuổi đi học.
Cả ba thiết bị đều cung cấp tính năng theo dõi vị trí, nhắn tin và trò chuyện. Chúng được sản xuất tại Trung Quốc, sử dụng phần cứng và phần mềm giống nhau. Quan trọng là chúng có vấn đề bảo mật tương tự.
Người dùng được ủy quyền có khả năng xem và thay đổi chi tiết cấu hình của đồng hồ bằng cách nhắn tin trực tiếp đến đồng hồ bằng một số lệnh nhất định. Nhưng trên thực tế, “ngay cả những số điện thoại lạ vẫn có thể tương tác với đồng hồ”, Rapid7 nêu trong báo cáo.
Vấn đề bảo mật này có thể được khắc phục bằng bản cập nhật do nhà sản xuất đưa ra, nhưng “điều này khó trở thành hiện thực do rất khó tìm địa chỉ của các đơn vị cung cấp thiết bị”, công ty an ninh mạng nói thêm.
Nhóm nghiên cứu phát hiện ba chiếc đồng hồ trên mang mật khẩu mặc định là 123456, nhưng tài liệu hướng dẫn của sản phẩm đầu tiên lại không nhắc đến điều này. Với sản phẩm thứ hai, mật khẩu được trình bày trong một bài đăng trên trang web. Đồng hồ thứ ba thì không mô tả các con số là mật khẩu, cũng như không cung cấp hướng dẫn về cách thay đổi.
“Khi mật khẩu mặc định không bị chỉnh sửa và thiết bị thiếu tính năng lọc tin nhắn SMS, kẻ xấu dễ dàng kiểm soát và khai thác chức năng theo dõi và trò chuyện bằng giọng nói, với quyền tương tự như người dùng (thường là phụ huynh)", Rapid7 nhận định. Kẻ xấu có thể tắt tất cả giao thức an toàn mà phụ huynh đã thiết lập trên smartwatch.
Rapid7 nói các chuyên gia của họ không thể liên lạc với người bán hay công ty mà họ nghĩ là nhà sản xuất của đồng hồ, ví dụ như một công ty Trung Quốc tên là 3g Electronics Co.
GreaSmart Children’s SmartWatch hiện không còn được bán trên Amazon. GreaSmart, Jsbaby, SmarTurtle không trả lời khi Bloomberg gửi tin nhắn. Oltec, một đơn vị bán SmarTurtle trên Amazon cũng không phản hồi khi được liên hệ qua Amazon.
Rapid7 cảnh báo người dùng quan tâm về sự an toàn, riêng tư và bảo mật của các thiết bị IoT và dịch vụ đám mây liên quan, nên tránh sử dụng bất kỳ loại công nghệ nào được cung cấp bởi các nhà sản xuất không có danh tính rõ ràng.
Bình luận (0)