Phát hiện nhiều lỗ hổng bảo mật nghiêm trọng trên tivi của TCL

TV TCL dính lỗ hổng bảo mật nguy hiểm

Hai nhà nghiên cứu bảo mật cho biết TV thông minh TCL chạy Android đã phát hiện điều bất thường với những lỗ hổng bảo mật nghiêm trọng nó cho phép kẻ xâm nhập có thể điều khiển thiết bị từ xa và đánh cấp dữ liệu.

Sick Codes và nhà nghiên cứu khác, John Jackson, làm việc tại dịch vụ cấp phép ảnh Shutterstock, đã phát hiện ra rằng họ có thể truy cập vào toàn bộ hệ thống tệp của TV thông minh TCL qua kết nối Wifi bằng cổng TCP / IP mà không cần phải có bất kỳ giấy tờ nào. Họ phát hiện ra rằng họ cũng có thể ghi đè lên các tệp trên TV.

Các lỗ hổng đã được phát hiện trên mẫu TV mà Sick Codes và Jackson đang phân tích nhưng dường như không phải tất cả trên các mẫu TV thông minh TCL đều dính vấn đề này

Lỗ hổng có tên CVE-2020-27403 sẽ cho phép kẻ tấn công từ xa tải xuống hầu hết các tệp hệ thống của TV cũng như hình ảnh, dữ liệu cá nhân, mã bảo mật cho các ứng dụng được kết nối... lưu trên TV TCL thông qua một chiếc smartphone Android sử dụng trình duyệt Chrome mà không cần đặc quyền hệ thống nào. 

Còn lỗ hổng có tên CVE-2020-28055 cho phép kẻ gian truy cập dễ dàng vào dữ liệu cục bộ của TV, sau đó đọc và ghi vào các thư mục tài nguyên quan trọng, gồm cả thư mục nâng cấp của nhà cung cấp.

Hai lỗ hổng có tên mã CVE-2020-27403 và CVE-2020-28055 được phát hiện bởi nhóm chuyên gia bảo mật Mỹ gồm hai nhà nghiên cứu độc lập được biết đến với biệt danh "Sick Codes" và John Jackson - một kỹ sư bảo mật ứng dụng của Shutterstock. Cả Sick Codes và Jackson nhấn mạnh hai lỗ hổng này "đặc biệt nguy hiểm".

Hai lỗ hổng nghiêm trọng này ảnh hưởng đến các dòng Smart TV chạy Android của TCL, chủ yếu là các mẫu V8-R851T02-LF1 V295 và V8-T658T01-LF1 V373 trở về trước. Nhóm nghiên cứu sau đó đã báo cáo lỗ hổng cho Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) và Nhóm Ứng cứu khẩn cấp máy tính Mỹ (US-CERT).

Lỗ hổng này liên quan đến các cổng mạng ở mặt sau của TV thông minh, mà kẻ gian có thể quét để lấy quyền truy cập mà bạn không biết. Thông qua cổng mạng này kẻ gian có thể biết được địa chỉ IP của TV và xem các tệp ẩn của TV bằng trình duyệt web thông thường.

Sau khi thử nghiệm các địa chỉ IP khác nhau, nhà nghiên cứu đã tìm thấy http://10.0.0.117:7989/sdcard. Trang này cho phép anh ta xem các tệp hệ thống quan trọng được lưu trữ trên thẻ nhớ của TV và không có tệp nào trong số đó có bất kỳ hình thức bảo vệ nào.

Với đủ thời gian, một hacker có thể viết lại mã trên TV thông minh, đưa các tệp độc hại hoặc vô hiệu hóa hoàn toàn nó.

TCL là  hãng điện tử có trụ sở tại Quảng Đông (Trung Quốc) và là nhà sản xuất TV lớn thứ ba thế giới. Hàng triệu TV thông minh của công ty này hiện có thể có nguy cơ bị hack hoặc xâm nhập mà không có cách nào để bảo vệ. Không có thông tin nào về việc liệu bản cập nhật bảo mật mới có được phát hành có thể khắc phục được tình trạng này hay không

Tại Việt Nam, TCL phân phối khá nhiều mẫu TV, chủ yếu là các dòng sản phẩm chạy Android. Thiết bị của công ty khá đa dạng, từ TV chạy Android, TV QLED, TV 4K, TV 8K... với kích thước màn hình từ 32 inch đến 85 inch. Các mẫu giá rẻ của hãng chỉ từ 2 triệu đồng.

Diễn đàn Đầu Tư Việt Nam 2025 - Mid-Year Update do trang thông tin điện tử tổng hợp VietnamBiz, Việt Nam Mới tổ chức sẽ diễn ra vào lúc 13h30 ngày 03/06/2025 tại Khách sạn L7 West Lake Hanoi by LOTTE, TP Hà Nội.

Sự kiện quy tụ các nhà hoạch định chính sách, các chuyên gia tài chính, các định chế tài chính, đại diện từ các doanh nghiệp, ngân hàng, các cơ quan thông tấn báo chí và đông đảo nhà đầu tư có kinh nghiệm lâu năm trên thị trường.

Trong giai đoạn thị trường có nhiều thay đổi với những tác động chính sách, Diễn đàn hứa hẹn mang lại không gian để các chuyên gia bàn luận về các xu hướng đầu tư mới, các góc nhìn chiến lược, mở ra nhiều ý tưởng đầu tư phù hợp cho giai đoạn mới. Đồng thời tạo cơ hội gặp gỡ, kết nối giữa nhà đầu tư và các đối tác tiềm năng trên thị trường.

BTC dành số lượng vé hạn chế cho độc giả Việt Nam Mới. Vui lòng đăng ký và hoàn thành khảo sát tại đây để xác nhận tham dự.