Anker thừa nhận lỗ hổng bảo mật trên camera an ninh Eufy

09:13 | 02/06/2023
Nguyễn Tiến Dũng (Học viện Cảnh sát nhân dân)

Anker đã xác nhận rằng trong những sản phẩm camera an ninh của họ có một số lỗ hổng bảo mật nghiêm trọng cho phép các bên thứ ba trái phép xem nguồn cấp dữ liệu trực tiếp của camera. Eufy đã tải dữ liệu người dùng lên máy chủ đám mây khi chưa có sự đồng ý của họ và lỗ hổng bảo mật có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện.

PHÁT HIỆN LỖ HỔNG BẢO MẬT TRÊN CAMERA AN NINH EUFY

Anker Electronics là công ty mẹ của Eufy, trong thập kỷ qua, công ty đã xây dựng được danh tiếng đáng kể khi xét về chất lượng sản phẩm, từ chỗ chỉ là một nhà sản xuất sạc điện thoại đã chuyển mình thành một đế chế trải khắp ngành công nghiệp điện tử, bao gồm cả lĩnh vực camera an ninh gia đình với nhãn hiệu Eufy được đánh giá cao qua rất nhiều năm.

Cam kết của Eufy đối với quyền riêng tư của người dùng là rất ấn tượng, khi hứa hẹn “dữ liệu của bạn sẽ luôn được lưu trữ cục bộ, không bao giờ rời khỏi căn nhà an toàn của bạn”, những đoạn phim được truyền tải với tiêu chuẩn mã hóa hai chiều cấp độ quân sự và chỉ có một điểm đến duy nhất là điện thoại của ngưởi sở hữu.

Tuyên bố của Eufy về việc giữ “quyền riêng tư trong tay bạn”, đã trở thành vô nghĩa sau khi một nhà nghiên cứu bắt gặp camera an ninh Eufy đăng tải cảnh quay cục bộ lên máy chủ đám mây mà không có sự cho phép hoặc kiểm chứng của người dùng. Được biết, vào ngày Lễ Tạ ơn năm 2022, nhà tư vấn an ninh thông tin Paul Moore cùng một tin tặc có biệt danh Wasabi, đã lên tiếng cáo buộc camera an ninh Eufy của Anker có thể phát trực tiếp video không mã hóa thông qua máy chủ đám mây. Cụ thể, anh đã tìm ra lỗ hổng cho phép xem hoặc phát trực tiếp các cảnh quay của camera thông qua phần mềm đa phương tiện VLC. Bằng cách dùng trình phát VLC, người dùng Eufy có thể truy xuất các video mà camera ghi lại thông qua máy chủ đám mây, trong khi theo nhà sản xuất thì các video này chỉ được lưu trữ trên thiết bị. Dữ liệu được tải lên cũng không thực sự bị xóa khỏi máy chủ của Eufy khi các cảnh quay liên quan đã bị xóa khỏi ứng dụng Eufy. Tệ hơn nữa, một người dùng khác phát hiện ra rằng có thể xem các cảnh quay video trực tiếp mà không cần xác thực.

Hình 1. Paul Moore tìm ra lỗ hổng cho phép xem hoặc phát trực tiếp các cảnh quay của camera thông qua phần mềm đa phương tiện VLC

Eufy Security gần như giữ im lặng kể từ khi các lỗ hổng bảo mật được phát hiện trong hệ thống của họ, điều này khiến nhiều người dùng không hài lòng và bắt đầu tự hỏi liệu họ còn có thể tin tưởng vào các camera an ninh của Eufy.

ANKER THỪA NHẬN LỖ HỔNG BẢO MẬT TRÊN CAMERA AN NINH EUFY

Sau một khoảng thời gian giữ im lặng kể từ khi các lỗ hổng bảo mật được phát hiện trong hệ thống của camera an ninh Eufy, trước áp lực từ dư luận và khách hàng, ngày 23/02/2023 nhà sản xuất camera này đã phải chính thức lên tiếng. Trong cuộc thảo luận mở rộng với trang tin chuyên về công nghệ The Verge (Mỹ), Anker đã thừa nhận rằng có một số vấn đề bảo mật với dòng sản phẩm Eufy, mặc dù hãng cho biết các vấn đề đã được giải quyết. Họ thừa nhận các camera không được mã hóa đầu cuối và có thể tạo các video không được mã hóa có thể truy cập được qua máy chủ đám mây. Đồng thời, hãng cũng thừa nhận hai lỗ hổng bảo mật của thiết bị: Tải dữ liệu người dùng lên máy chủ đám mây mà không có sự đồng ý; có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện, trong trường hợp này là VLC.

Anker cũng cho biết: “Ngày nay, tất cả các video (trực tiếp và được ghi lại) được chia sẻ giữa thiết bị của người dùng với cổng Web Eufy Security hoặc ứng dụng Eufy Security đều sử dụng mã hóa đầu cuối, được triển khai bằng thuật toán AES và RSA”.

Đối với những gì được tải lên đám mây, nhà sản xuất camera an ninh Eufy đã đưa ra tuyên bố từ chối trách nhiệm rõ ràng trên ứng dụng dành cho thiết bị di động và giải thích rằng một số dữ liệu phải được tải lên máy chủ đám mây khi người dùng bật các tính năng như xem trước video cho thông báo đẩy.

Theo quan điểm của Eric Villines - Giám đốc truyền thông toàn cầu của Anker, vấn đề không phải là tải ảnh chụp màn hình lên đám mây, vì hầu hết các camera an ninh thông minh đều làm như vậy, mà vấn đề ở đây là Eufy biết rằng điều này đang xảy ra nhưng vẫn khiến khách hàng tin vào điều ngược lại.

Trong suốt thời gian bán camera an ninh và HomeBase, Eufy cũng đã tuyên bố rằng tất cả dữ liệu của người dùng được lưu giữ hoàn toàn tại chỗ. Không cần phải lo lắng, mọi thứ sẽ an toàn và ổn định ngay trong ổ lưu trữ tích hợp của HomeBase hoặc bất kỳ ổ cứng HDD hoặc SSD nào người dùng chọn thêm vào nếu dùng phiên bản mới nhất.

Hình 2. Ảnh chụp màn hình “Bằng chứng về quyền riêng tư” của Eufy trên trang web của họ sau khi đã khắc phục sự cố

CÔNG TÁC KHẮC PHỤC SỰ CỐ CỦA ANKER

Trong email gửi tới The Verge, Anker xin lỗi khách hàng vì thiếu phản hồi và bày tỏ cam kết sẽ thực hiện công việc tốt hơn trong tương lai. Dù sự cố đã khiến không ít khách hàng mất đi niềm tin vào Eufy, nhưng có vẻ Anker đang nỗ lực để sửa sai và đưa sản phẩm của mình đáp ứng các tiêu chuẩn được cộng đồng mong đợi. Một trong những cách mà Anker đang thực hiện là làm việc với một công ty độc lập để thực hiện kiểm thử xâm nhập và bảo mật nhằm nỗ lực kiểm tra hệ thống và áp dụng vào thực tiễn.

Mục tiêu của Anker là tiến hành đánh giá rủi ro bảo mật toàn diện cho các sản phẩm và loại bỏ các rủi ro tiềm ẩn. Công ty cũng cam kết rằng tất cả các yêu cầu truyền phát video từ cổng web của Eufy sẽ được mã hóa đầu cuối và đang cập nhật tất cả các camera Eufy để sử dụng WebRTC, phương thức HomeBase 3 và EufyCam 3/3C đã sử dụng. Theo Anker, chỉ có khoảng 0,1% người dùng hiện tại sử dụng cổng web.

Theo Eric Villines, người dùng ứng dụng di động Eufy Security có thể yên tâm rằng nguồn cấp dữ liệu cảnh quay và camera của họ đã được mã hóa đầu cuối và điều này được thực hiện cục bộ trên camera hoặc HomeBase. Trang web Eufy Security yêu cầu người dùng đăng nhập trước khi truy cập, ban đầu không được thiết kế với mã hóa đầu cuối, điều mà Anker thừa nhận lẽ ra phải có ngay từ đầu. Đây là quy trình truyền phát video duy nhất không sử dụng mã hóa.

Anker đã đưa ra các giao thức và quy trình mới cho các tính năng có thể được phát triển trong tương lai, đảm bảo rằng tất cả dữ liệu đi từ thiết bị của người dùng đến ứng dụng di động Eufy Security hoặc cổng web phải sử dụng mã hóa đầu cuối.

Ngoài ra, Anker cũng đang lên kế hoạch phát hành ra một trang web nhỏ với thông tin về các quy trình được thực hiện và chỉ rõ quy trình nào yêu cầu sử dụng máy chủ đám mây. Đồng thời hứa hẹn sẽ cung cấp thông tin kịp thời hơn cho cộng đồng người tiêu dùng và sẽ thường xuyên đưa ra các bản cập nhật để hạn chế các lỗ hổng, một trong những bản cập nhật đó đã ra mắt vào đầu tháng 02/2023.

TÀI LIỆU THAM KHẢO

[1]. https://www.zdnet.com/article/eufys-security-cameras-send-data-to-the-cloud-without-consent-and-thats-not-the-worst-part/.

[2]. https://www.zdnet.com/article/anker-admits-eufy-cameras-not-encrypted/.

[3]. https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage.