Mặt tối của camera an ninh giá rẻ: Hàng triệu gia đình có nguy cơ bị theo dõi

Trong nhiều năm qua, camera an ninh trở thành món đồ quen thuộc trong các gia đình. Nhiều phụ huynh lắp camera để quan sát con nhỏ. Chủ shop dùng để trông cửa hàng. Người đi làm xem thú cưng từ xa.

Nhưng phía sau sự tiện lợi đó là một thực tế khiến nhiều người giật mình, không ít camera giá rẻ trên thị trường có mức độ bảo mật cực kỳ yếu.

Theo điều tra mới đây của The Verge, hàng triệu camera an ninh và camera giám sát trẻ em từng có nguy cơ bị truy cập trái phép chỉ vì hệ thống của nhà sản xuất tồn tại lỗ hổng nghiêm trọng.

Trung tâm của vụ việc là Meari Technology, một công ty công nghệ Trung Quốc chuyên sản xuất camera Wifi theo mô hình “white-label”. Điều này đồng nghĩa sản phẩm của họ không bán dưới một cái tên duy nhất mà được đóng gói và xuất hiện dưới hàng trăm thương hiệu khác nhau trên Amazon và nhiều nền tảng thương mại điện tử.

Người dùng có thể chưa từng nghe tới Meari, nhưng rất có thể họ đã từng mua hoặc sử dụng một thiết bị do công ty này sản xuất.

Nguy cơ bị xem lén từ những chiếc camera quen thuộc

Theo chuyên gia bảo mật Sammy Azdoufal, người từng gây chú ý với vụ hack robot hút bụi DJI Romo, hệ thống của Meari tồn tại một lỗ hổng nghiêm trọng đến mức chỉ cần phân tích ứng dụng Android của hãng, anh đã tìm ra một khóa truy cập dùng chung cho toàn bộ hệ thống.

Điều đáng sợ nằm ở chỗ nếu có quyền truy cập vào một camera, về lý thuyết hacker có thể tiếp cận hàng triệu camera khác.

Azdoufal cho biết anh đã phát hiện khoảng 1,1 triệu thiết bị tại 118 quốc gia có nguy cơ bị truy cập từ xa. Không chỉ hình ảnh trực tiếp, dữ liệu cá nhân như email, vị trí tương đối của người dùng hay hàng chục nghìn bức ảnh lưu trên máy chủ cũng có thể bị xem mà không cần mật khẩu.

Một số mật khẩu mặc định của hệ thống thậm chí chỉ là những từ cực kỳ đơn giản như “admin” hoặc “public”. Điều này khiến việc xâm nhập trở nên dễ dàng hơn rất nhiều.

Đáng chú ý, nhiều hình ảnh từ camera được lưu trên các máy chủ công khai mà gần như không có lớp bảo vệ nào. Chỉ cần có đúng đường dẫn URL, người lạ có thể mở trực tiếp ảnh bên trong nhà người khác.

Trong vài năm gần đây, camera Wi-Fi giá rẻ trở thành mặt hàng cực kỳ phổ biến. Với mức giá ngày càng dễ tiếp cận, người dùng có thể sở hữu một chiếc camera có khả năng kết nối điện thoại, theo dõi từ xa, phát hiện chuyển động và lưu dữ liệu lên đám mây.

Sự tiện lợi này khiến nhiều gia đình lắp camera ở phòng khách, cửa ra vào, sân trước, thậm chí cả phòng ngủ trẻ nhỏ.

Tuy nhiên, phía sau mức giá rẻ là một thực tế ít người để ý là nhiều thương hiệu thực chất dùng chung phần cứng và hệ thống máy chủ từ một nhà sản xuất gốc.

Điều đó có nghĩa một lỗ hổng bảo mật ở công ty cung cấp nền tảng có thể ảnh hưởng dây chuyền tới hàng trăm thương hiệu khác nhau.

Trong vụ việc lần này, các thương hiệu như Arenti, Boifun, ieGeek, Anran hay Intelbras đều xuất hiện trong danh sách thiết bị có nguy cơ bị ảnh hưởng. Một số nguồn tin cho biết cả Wyze hay Petcube cũng từng sử dụng sản phẩm liên quan tới Meari.

Đây là lý do khiến nhiều chuyên gia an ninh mạng lo ngại rằng thị trường camera giá rẻ đang trở thành lỗ hổng quyền riêng tư toàn cầu.

Điều đáng nói là vụ việc không chỉ dừng ở khả năng bị xem lén camera trực tiếp. Theo tiết lộ của Azdoufal, hệ thống của Meari còn để lộ cả dữ liệu nội bộ như email nhân viên, số điện thoại và thông tin máy chủ. Anh cho biết mình thậm chí có thể liên hệ trực tiếp với lãnh đạo công ty thông qua các dữ liệu bị lộ.

Điều này cho thấy vấn đề không nằm ở một lỗi nhỏ trong phần mềm, mà phản ánh cách nhiều công ty công nghệ giá rẻ đang vận hành hệ thống bảo mật một cách lỏng lẻo.

Trong cuộc đua giảm giá thành để cạnh tranh trên các sàn thương mại điện tử, yếu tố bảo mật thường không phải ưu tiên hàng đầu. Người dùng dễ bị thu hút bởi quảng cáo “camera AI”, “xoay 360 độ”, “đàm thoại hai chiều”, “xem từ xa bằng điện thoại”, nhưng lại gần như không có thông tin về việc dữ liệu được mã hóa ra sao, lưu ở đâu và ai có thể truy cập.

Thực tế, rất nhiều camera giá rẻ hiện nay hoạt động theo mô hình phụ thuộc hoàn toàn vào máy chủ đám mây. Mọi hình ảnh từ camera đều được gửi liên tục lên internet để người dùng có thể xem từ xa qua ứng dụng điện thoại.

Điều này đồng nghĩa chỉ cần máy chủ trung tâm có vấn đề, toàn bộ dữ liệu bên trong nhà riêng của hàng triệu người dùng cũng có nguy cơ bị lộ.

Đáng lo hơn, nhiều người không hề biết camera họ mua thực sự được sản xuất bởi công ty nào. Một mẫu camera có thể xuất hiện dưới nhiều thương hiệu khác nhau, với bao bì và tên gọi khác nhau nhưng lại dùng chung phần cứng, firmware và nền tảng máy chủ.

Vì vậy, khi xảy ra sự cố, người dùng rất khó xác định trách nhiệm thuộc về ai, ai phải cập nhật bảo mật và ai cần cảnh báo khách hàng.

Trong vụ việc của Meari, công ty cho biết họ đã đóng nền tảng EMQX cũ, đổi mật khẩu và yêu cầu cập nhật firmware. Tuy nhiên, họ không công bố chính xác có bao nhiêu thiết bị bị ảnh hưởng hoặc liệu các thương hiệu đối tác đã thông báo tới người dùng hay chưa.

Đây cũng là vấn đề phổ biến của thị trường thiết bị thông minh giá rẻ khi mà rất nhiều sản phẩm sau khi bán ra gần như không còn được hỗ trợ cập nhật lâu dài.

Người dùng thường chỉ nhận được vài bản cập nhật đầu tiên rồi thiết bị bị “bỏ quên”. Trong khi đó, camera an ninh lại là thiết bị gắn trực tiếp với không gian sống riêng tư của gia đình.

Một lỗ hổng tồn tại nhiều năm có thể biến chiếc camera vốn dùng để bảo vệ ngôi nhà trở thành công cụ theo dõi chính chủ nhân của nó.

Vụ việc của Meari không chỉ là câu chuyện về một công ty camera Trung Quốc hay một lỗ hổng kỹ thuật.

Nó phản ánh mặt tối của thị trường thiết bị thông minh giá rẻ, nơi hàng triệu người vô tình đưa đời sống riêng tư của mình lên internet mà không thực sự biết ai đang có thể nhìn thấy.

*Nguồn: The Verge