Lỗ hổng bảo mật kể trên vừa được các chuyên gia bảo mật của Kaspersky trình bày trong phiên thảo luận có tiêu đề 'Trao quyền cho những người dễ bị tổn thương trong môi trường kỹ thuật số' tại Mobile World Congress (MWC) 2024.
Theo đó, trên các thiết bị đồ chơi thông minh, robot thông minh kết nối Internet, chạy hệ điều hành Android hiện nay có thể tồn tại một lỗ hổng bảo mật khiến tội phạm mạng có thể xâm nhập, chiếm quyền điều khiển, tương tác với trẻ, thậm chí thực hiện các cuộc gọi bí mật mà cha mẹ không hay biết, từ đó thao túng tâm lý trẻ, xúi giục chúng thực hiện những hành động nguy hiểm cho bản thân.
Phân tích của các chuyên gia cho thấy, hiện nay hầu hết các robot đồ chơi thông minh đều được tích hợp camera và micro để có thể tương tác với trẻ. Thông qua robot, cha mẹ cũng có thể thực hiện các cuộc gọi video trực tiếp cho con cái của mình. Để thực hiện được các tính năng quan trọng trên robot thông minh, cha mẹ cần phải tải ứng dụng và liên kết với robot đồ chơi thông minh này.
Tuy nhiên, trên thực tế đang tồn tại một sơ hở nghiêm trọng trong giao diện lập trình ứng dụng (API) của hệ thống robot khi thiếu tính năng xác thực. Đây là yêu cầu quan trọng để xác nhận ai được phép truy cập vào nguồn mạng của người dùng.
Theo Kaspersky, tội phạm mạng có thể lợi dụng điều này để can thiệp vào thiết bị và đánh cắp nhiều loại dữ liệu, bao gồm tên, tuổi, giới tính, quốc gia cư trú và thậm chí cả địa chỉ IP của trẻ chỉ bằng cách ngăn chặn và phân tích tần suất truy cập mạng. Lỗ hổng này cho phép kẻ gian kích hoạt cuộc gọi video trực tiếp với trẻ, hoàn toàn bỏ qua sự đồng ý từ tài khoản của cha mẹ. Nếu trẻ chấp nhận cuộc gọi, kẻ tấn công có thể trao đổi bí mật với trẻ mà không cần sự cho phép của cha mẹ. Trong trường hợp này, kẻ tấn công có thể thao túng, dụ dỗ trẻ ra khỏi nhà hoặc hướng dẫn trẻ em thực hiện các hành vi nguy hiểm.
Không dừn ở đó, các vấn đề bảo mật của ứng dụng trong thiết bị di động của cha mẹ có thể cho phép kẻ tấn công điều khiển robot từ xa và truy cập vào mạng trái phép. Thông qua sử dụng các phương pháp brute-force để khôi phục mật khẩu OTP, và tính năng không giới hạn số lần đăng nhập thất bại, kẻ tấn công có thể liên kết robot với tài khoản của riêng mình từ xa, từ đó vô hiệu hóa quyền kiểm soát thiết bị của chủ sở hữu.
Các chuyên gia của Kaspersky cảnh báo, cha mẹ không nên tin tưởng vào việc thiết bị càng đắt tiền thì càng an toàn. Hãy xem xét kỹ lưỡng các đánh giá, trải nghiệm của người dùng khác, đồng thời thường xuyên cập nhật hệ điều hành cho robot để tránh những lỗ hổng bảo mật có thể tồn tại lâu dài. Quan trọng nhất, cha mẹ vẫn phải thường xuyên giám sát trẻ trong thời gian chúng chơi đùa với các thiết bị thông minh này.
Các chuyên gia của Kaspersky đưa ra lời khuyên hữu ích cho các bậc cha mẹ nhằm bảo vệ con cái trước những mối nguy cơ liên quan đến vấn đề này:
- Luôn cập nhật thiết bị: Thường xuyên cập nhật chương trình cơ sở và phần mềm của tất cả các thiết bị được kết nối trong gia đình, bao gồm cả đồ chơi thông minh. Những bản cập nhật này thường chứa các bản vá bảo mật quan trọng nhằm giải quyết các lỗ hổng đã biết.
- Nghiên cứu kỹ trước khi mua: Trước khi mua một món đồ chơi thông minh hoặc bất kỳ thiết bị kết nối nào, hãy nghiên cứu danh tiếng của nhà sản xuất về tính bảo mật và quyền riêng tư. Hãy chọn những thiết bị đến từ thương hiệu uy tín ưu tiên bảo mật và cung cấp các bản cập nhật thường xuyên.
- Hãy thận trọng với quyền của ứng dụng: Xem xét và giới hạn các quyền được cấp cho ứng dụng di động được liên kết với thiết bị thông minh của bạn. Chỉ cung cấp quyền truy cập cần thiết vào các tính năng và dữ liệu, đồng thời tránh cấp các đặc quyền quá mức.
- Tắt nguồn khi không sử dụng: Tắt đồ chơi thông minh khi không sử dụng để tránh việc thu thập dữ liệu. Nếu thiết bị có micrô, hãy cất micrô ở nơi khó tiếp cận khi không hoạt động và che hoặc chuyển hướng bất kỳ camera nào khi không sử dụng.
- Sử dụng các giải pháp bảo mật đáng tin cậy: Sử dụng giải pháp bảo mật đáng tin cậy để giúp bảo mật và bảo vệ toàn bộ hệ sinh thái nhà thông minh của bạn.
Nguyên Đỗ
