SmarTurtle Smart Watch for Kids. (Ảnh: Amazon).
Theo Deral Heiland, Giám đốc nghiên cứu công nghệ IoT của hãng bảo mật Rapid7, công ty của ông mua lại 3 smartwatch trên Amazon.com, giá từ 20 USD đến 35 USD. Ông cho biết 3 mẫu này là GreaSmart Children’s SmartWatch, Jsbaby Game Smart Watch và SmarTurtle Smart Watch for Kids, được lựa chọn ngẫu nhiên từ hàng chục loại đang bán trên Amazon. Chúng được quảng cáo là phù hợp với trẻ trong độ tuổi đến trường.
Cả ba đều cung cấp tính năng theo dõi vị trí, nhắn tin, chat. Chúng được sản xuất tại Trung Quốc và có cấu hình, phần mềm gần giống hệt nhau. Không chỉ có vậy, Raid7 phát hiện chúng còn có lỗi bảo mật tương tự.
Cụ thể, chúng cho phép người dùng xem và thay đổi chi tiết cấu hình bằng cách nhắn một số lệnh trực tiếp tới đồng hồ. Lỗ hổng có thể được vá bằng cập nhật phần mềm của nhà sản xuất nhưng khó xảy ra vì không thể định vị được nhà cung cấp các thiết bị này.
Mật khẩu mặc định của đồng hồ là “123456” nhưng một trong số các sách hướng dẫn lại không nhắc tới mật khẩu. Một hãng khác nhắc mật khẩu trên blog nhưng không in ra. Hãng thứ ba còn không đánh dấu đây mà mật khẩu hay cung cấp hướng dẫn thay đổi mật khẩu.
Về lí thuyết, nếu không thay đổi mật khẩu mặc định và không có bộ lọc SMS, kẻ tấn công biết số điện thoại của người đeo smartwatch có thể chiếm quyền điều khiển thiết bị. Từ đó, chúng dùng chức năng theo dõi và gọi thoại như người dùng hợp pháp (chẳng hạn bố mẹ). Ngoài ra, chúng còn có thể tắt mọi giao thức an toàn mà bố mẹ cài đặt trên đồng hồ.
Rapid7 nói các chuyên gia của họ không thể liên hệ người bán hay nhà sản xuất một trong ba đồng hồ - công ty Trung Quốc có tên 3g Electronics. Công ty cũng không trả lời tin nhắn của Bloomberg News.
Theo Rapid7, GreaSmart Children's SmartWatch không còn bán trên Amazon. Oltec, người bán đồng hồ SmarTurle trên Amazon, cũng không trả lời tin nhắn trên website.
Rapid7 cảnh báo những người quan tâm tới an toàn, bảo mật và quyền riêng tư thiết bị IoT cũng như dịch vụ đám mây liên quan nên tránh sử dụng công nghệ không được nhà sản xuất đã được xác minh cung cấp.
Về lý thuyết, nếu không thay đổi mật khẩu mặc định và không có bộ lọc SMS, kẻ tấn công biết số điện thoại của người đeo smartwatch có thể chiếm quyền điều khiển thiết bị. Từ đó, chúng dùng chức năng theo dõi và gọi thoại như người dùng hợp pháp (chẳng hạn bố mẹ). Ngoài ra, chúng còn có thể tắt mọi giao thức an toàn mà bố mẹ cài đặt trên đồng hồ.
Rapid7 nói các chuyên gia của họ không thể liên hệ người bán hay nhà sản xuất một trong ba đồng hồ - công ty Trung Quốc có tên 3g Electronics. Công ty cũng không trả lời tin nhắn của Bloomberg News.
Theo Rapid7, GreaSmart Children’s SmartWatch không còn bán trên Amazon. Oltec, người bán đồng hồ SmarTurle trên Amazon, cũng không trả lời tin nhắn trên website.
Rapid7 cảnh báo những người quan tâm tới an toàn, bảo mật và quyền riêng tư thiết bị IoT cũng như dịch vụ đám mây liên quan nên tránh sử dụng công nghệ không được nhà sản xuất đã được xác minh cung cấp.