Nồi chiên không dầu cũng có thể bị hacker tấn công với lỗ hổng bảo mật này

Giống như các thiết bị điện tử-điện lạnh hiện đại ngày nay, nồi chiên không dầu thông minh có thể kết nối với mạng Wifi gia đình để người dùng có thể điều khiển nó thông qua smart phone.

Trong trường hợp, các nhà nghiên cứu thuộc Cisco Talos Intelligence Group - nhóm tình báo về mối đe dọa thương mại lớn nhất thế giới - đã phát hiện ra các lỗ hổng bảo mật trong nồi chiên không dầu thông minh Cosori. Theo giả thuyết, những lỗ hổng này có thể cho phép hacker thay đổi nhiệt độ, thời gian nấu ăn và cài đặt trên nồi chiên không dầu. Các lỗ hổng CVE-2020-28592 và CVE-2020-28593 có thể cho phép kẻ tấn công thực thi mã từ xa.

Rõ ràng, khả năng giả mạo các nút điều khiển nhiệt độ và hẹn giờ trên một thiết bị nấu ăn là điều nguy hiểm mà nếu khai thác thành công sẽ có nguy cơ ra hỏa hoạn.

Trên thực tế, các nhà nghiên cứu cho biết kẻ tấn công “phải có quyền truy cập vật lý vào nồi chiên không dầu để một số lỗ hổng này hoạt động”. Với việc chỉ có 2 lỗ hổng để bắt đầu tấn công, cơ hội khai thác đã bị thu hẹp đáng kể.

Tuy nhiên, điều này không đồng nghĩa với việc sẽ không xảy ra những nguy hiểm tiềm ẩn. Hacker có thể khiến các thiết bị khác sử dụng chung mạng với nồi chiên không dầu như các thiết IoT (tủ lạnh, loa thông minh, TV), khóa cửa, máy ảnh, máy tính và smartphone gặp rủi ro.

Trong một cuộc phỏng vấn, Craig Williams, Giám đốc Cisco Talos, cho rằng: “Các vấn đề bảo mật trong các thiết bị IoT là điều đáng lo ngại vì người dùng thường không bao giờ có thể dễ dàng biết được thiết bị dễ bị sự cố hay không hoặc ngay cả khi thiết bị đã bị tấn công”.

Về lỗ hổng của nồi chiên không dầu, Williams nói, CVE-2020-28593 có thể đưa các phần mềm độc hại vào thiết bị. Sau đó, lỗi này có thể được sử dụng cho bất kỳ mục đích bất chính nào, có lẽ rất có thể là một điểm ủy quyền để những kẻ tấn công định tuyến lưu lượng truy cập trong các chiến dịch sau này.

Theo Williams, lỗ hổng bảo mật trong các thiết bị IoT rất phổ biến. Điều quan trọng là các nhà sản xuất phải vá các lỗ hổng khi phát hiện ra nó để sản phẩm an toàn hơn cho người dùng.

Williams khuyên người dùng “hãy cân nhắc xem bạn có thực sự cần thiết bị kết nối Internet hay không? Nếu câu trả lời là có, người dùng nên tìm nhà cung cấp thiết bị uy tín, có khả năng tồn tại trong một thời gian dài và có khả năng hỗ trợ thiết bị bằng các bản cập nhật bảo mật”.

Sau khi nhà bảo mật phản ánh với Cosori, công ty đã không đưa ra phản hồi ngay lập tức. 90 ngày sau đó, công ty mới đưa thông báo rằng: “Cosori quan tâm sâu sắc đến sự an toàn của người dùng đối với các sản phẩm thông minh. Chúng tôi đã thiết lập để giải quyết vấn đề này ngay lập tức”.

Bên cạnh đó, công ty sản xuất nồi chiên không dầu khuyên người dùng nên nâng cấp phần mềm lên phiên bản mới nhất và cho biết họ sẽ “tiếp tục phát triển một số hệ thống an toàn và thuận tiện cho khách hàng”.

Thực tế, chúng ta đang sống trong một thế giới có nhiều lỗ hổng không có nghĩa là chúng ta có khả năng trở thành nạn nhân nghiêm trọng. Mặc dù tất cả công nghệ đều có rủi ro, nhưng chúng cũng có những mặt lợi. Chính vì thế, hãy cứ tận hưởng những lợi ích và không quên tuân theo các bước bảo mật và an toàn cơ bản.

Rất lâu trước khi để trở thành các thiết bị thông minh, chẳng hạn như lò nướng bánh, nó thậm chí đã gây hỏa hoạn, chết người. Lý do mấu chốt và quan trọng nhất của bất kỳ thiết bị nào, dù thông minh hay không, là hãy biến mình trở thành người dùng thông minh.