Anker Electronics là công ty mẹ của Eufy, trong thập kỷ qua, công ty đã xây dựng được danh tiếng đáng kể khi xét về chất lượng sản phẩm, từ chỗ chỉ là một nhà sản xuất sạc điện thoại đã chuyển mình thành một đế chế trải khắp ngành công nghiệp điện tử, bao gồm cả lĩnh vực camera an ninh gia đình với nhãn hiệu Eufy được đánh giá cao qua rất nhiều năm.
Cam kết của Eufy đối với quyền riêng tư của người dùng là rất ấn tượng, khi hứa hẹn “dữ liệu của bạn sẽ luôn được lưu trữ cục bộ, không bao giờ rời khỏi căn nhà an toàn của bạn”, những đoạn phim được truyền tải với tiêu chuẩn mã hóa hai chiều cấp độ quân sự và chỉ có một điểm đến duy nhất là điện thoại của ngưởi sở hữu.
Tuyên bố của Eufy về việc giữ “quyền riêng tư trong tay bạn”, đã trở thành vô nghĩa sau khi một nhà nghiên cứu bắt gặp camera an ninh Eufy đăng tải cảnh quay cục bộ lên máy chủ đám mây mà không có sự cho phép hoặc kiểm chứng của người dùng. Được biết, vào ngày Lễ Tạ ơn năm 2022, nhà tư vấn an ninh thông tin Paul Moore cùng một tin tặc có biệt danh Wasabi, đã lên tiếng cáo buộc camera an ninh Eufy của Anker có thể phát trực tiếp video không mã hóa thông qua máy chủ đám mây. Cụ thể, anh đã tìm ra lỗ hổng cho phép xem hoặc phát trực tiếp các cảnh quay của camera thông qua phần mềm đa phương tiện VLC. Bằng cách dùng trình phát VLC, người dùng Eufy có thể truy xuất các video mà camera ghi lại thông qua máy chủ đám mây, trong khi theo nhà sản xuất thì các video này chỉ được lưu trữ trên thiết bị. Dữ liệu được tải lên cũng không thực sự bị xóa khỏi máy chủ của Eufy khi các cảnh quay liên quan đã bị xóa khỏi ứng dụng Eufy. Tệ hơn nữa, một người dùng khác phát hiện ra rằng có thể xem các cảnh quay video trực tiếp mà không cần xác thực.
Hình 1. Paul Moore tìm ra lỗ hổng cho phép xem hoặc phát trực tiếp các cảnh quay của camera thông qua phần mềm đa phương tiện VLC
Eufy Security gần như giữ im lặng kể từ khi các lỗ hổng bảo mật được phát hiện trong hệ thống của họ, điều này khiến nhiều người dùng không hài lòng và bắt đầu tự hỏi liệu họ còn có thể tin tưởng vào các camera an ninh của Eufy.
Sau một khoảng thời gian giữ im lặng kể từ khi các lỗ hổng bảo mật được phát hiện trong hệ thống của camera an ninh Eufy, trước áp lực từ dư luận và khách hàng, ngày 23/02/2023 nhà sản xuất camera này đã phải chính thức lên tiếng. Trong cuộc thảo luận mở rộng với trang tin chuyên về công nghệ The Verge (Mỹ), Anker đã thừa nhận rằng có một số vấn đề bảo mật với dòng sản phẩm Eufy, mặc dù hãng cho biết các vấn đề đã được giải quyết. Họ thừa nhận các camera không được mã hóa đầu cuối và có thể tạo các video không được mã hóa có thể truy cập được qua máy chủ đám mây. Đồng thời, hãng cũng thừa nhận hai lỗ hổng bảo mật của thiết bị: Tải dữ liệu người dùng lên máy chủ đám mây mà không có sự đồng ý; có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện, trong trường hợp này là VLC.
Anker cũng cho biết: “Ngày nay, tất cả các video (trực tiếp và được ghi lại) được chia sẻ giữa thiết bị của người dùng với cổng Web Eufy Security hoặc ứng dụng Eufy Security đều sử dụng mã hóa đầu cuối, được triển khai bằng thuật toán AES và RSA”.
Đối với những gì được tải lên đám mây, nhà sản xuất camera an ninh Eufy đã đưa ra tuyên bố từ chối trách nhiệm rõ ràng trên ứng dụng dành cho thiết bị di động và giải thích rằng một số dữ liệu phải được tải lên máy chủ đám mây khi người dùng bật các tính năng như xem trước video cho thông báo đẩy.
Theo quan điểm của Eric Villines - Giám đốc truyền thông toàn cầu của Anker, vấn đề không phải là tải ảnh chụp màn hình lên đám mây, vì hầu hết các camera an ninh thông minh đều làm như vậy, mà vấn đề ở đây là Eufy biết rằng điều này đang xảy ra nhưng vẫn khiến khách hàng tin vào điều ngược lại.
Trong suốt thời gian bán camera an ninh và HomeBase, Eufy cũng đã tuyên bố rằng tất cả dữ liệu của người dùng được lưu giữ hoàn toàn tại chỗ. Không cần phải lo lắng, mọi thứ sẽ an toàn và ổn định ngay trong ổ lưu trữ tích hợp của HomeBase hoặc bất kỳ ổ cứng HDD hoặc SSD nào người dùng chọn thêm vào nếu dùng phiên bản mới nhất.
Hình 2. Ảnh chụp màn hình “Bằng chứng về quyền riêng tư” của Eufy trên trang web của họ sau khi đã khắc phục sự cố
Trong email gửi tới The Verge, Anker xin lỗi khách hàng vì thiếu phản hồi và bày tỏ cam kết sẽ thực hiện công việc tốt hơn trong tương lai. Dù sự cố đã khiến không ít khách hàng mất đi niềm tin vào Eufy, nhưng có vẻ Anker đang nỗ lực để sửa sai và đưa sản phẩm của mình đáp ứng các tiêu chuẩn được cộng đồng mong đợi. Một trong những cách mà Anker đang thực hiện là làm việc với một công ty độc lập để thực hiện kiểm thử xâm nhập và bảo mật nhằm nỗ lực kiểm tra hệ thống và áp dụng vào thực tiễn.
Mục tiêu của Anker là tiến hành đánh giá rủi ro bảo mật toàn diện cho các sản phẩm và loại bỏ các rủi ro tiềm ẩn. Công ty cũng cam kết rằng tất cả các yêu cầu truyền phát video từ cổng web của Eufy sẽ được mã hóa đầu cuối và đang cập nhật tất cả các camera Eufy để sử dụng WebRTC, phương thức HomeBase 3 và EufyCam 3/3C đã sử dụng. Theo Anker, chỉ có khoảng 0,1% người dùng hiện tại sử dụng cổng web.
Theo Eric Villines, người dùng ứng dụng di động Eufy Security có thể yên tâm rằng nguồn cấp dữ liệu cảnh quay và camera của họ đã được mã hóa đầu cuối và điều này được thực hiện cục bộ trên camera hoặc HomeBase. Trang web Eufy Security yêu cầu người dùng đăng nhập trước khi truy cập, ban đầu không được thiết kế với mã hóa đầu cuối, điều mà Anker thừa nhận lẽ ra phải có ngay từ đầu. Đây là quy trình truyền phát video duy nhất không sử dụng mã hóa.
Anker đã đưa ra các giao thức và quy trình mới cho các tính năng có thể được phát triển trong tương lai, đảm bảo rằng tất cả dữ liệu đi từ thiết bị của người dùng đến ứng dụng di động Eufy Security hoặc cổng web phải sử dụng mã hóa đầu cuối.
Ngoài ra, Anker cũng đang lên kế hoạch phát hành ra một trang web nhỏ với thông tin về các quy trình được thực hiện và chỉ rõ quy trình nào yêu cầu sử dụng máy chủ đám mây. Đồng thời hứa hẹn sẽ cung cấp thông tin kịp thời hơn cho cộng đồng người tiêu dùng và sẽ thường xuyên đưa ra các bản cập nhật để hạn chế các lỗ hổng, một trong những bản cập nhật đó đã ra mắt vào đầu tháng 02/2023.
TÀI LIỆU THAM KHẢO [2]. https://www.zdnet.com/article/anker-admits-eufy-cameras-not-encrypted/. |
Nguyễn Tiến Dũng (Học viện Cảnh sát nhân dân)
14:00 | 27/09/2021
10:00 | 04/03/2024
15:22 | 12/10/2016
09:00 | 06/03/2024
08:40 | 06/09/2016
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024