Vụ hack này được tiến hành bởi hai hacker có biệt danh HackerGiraffe và j3ws3r nhằm vào các thiết bị Chromecast (vốn được cắm vào các thiết bị TV để xem các chương trình trực tuyến) để thiết bị này hiển thị một video khuyến khích người dùng đăng ký kênh YouTube của PewDieDie - một Youtuber người Thụy Điển rất nổi tiếng.
Tin tặc chiếm quyền điều khiển hàng ngàn Chromecast: điểm yếu IoT |
Lỗi được đặt tên là CastHack, khai thác điểm yếu bảo mật của cả Chromecast và bộ định tuyến mà nó kết nối. Nguy hiểm ở đây là vụ hack này lợi dụng một thiết lập trên router có chức năng cho phép các thiết bị nhà thông minh có thể được xem ở chế độ công khai (public) trên mạng Internet. Hacker đã chiếm được quyền kiểm soát các thiết bị này và can thiệp nội dung, cho phát các đoạn video chỉ định.
Trong video YouTube mà hai hacker này dùng để thống kê số lượng thiết bị đã bị hack bởi hình thức này, con số lên đến hơn 3.000 thiết bị. Diễn đàn reddit nổi tiếng cũng ghi nhận có rất nhiều người đã đăng thông tin về việc TV nhà họ bị tấn công và hiển thị một video “lạ”.
Đây không phải là lần đầu tiên thiết bị này dính lỗi bảo mật. Năm 2014 khi Chrome mới ra mắt, một nhóm nghiên cứu bảo mật đã thực hiện thành công một cuộc tấn công trên mạng của người dùng bằng hình thức ngắt kết nối Chromecast khỏi mạng Wi-Fi mà nó được kết nối, khiến nó quay trở lại trạng thái chờ kết nối. Từ đó hacker sẽ chiếm quyền kết nối này và truyền phát nội dung tùy chỉnh lên thiết bị.
Hai năm sau, công ty bảo mật Pen Test Partners tại Anh cũng thực hiện thành công một hình thức tấn công tương tự giúp chiếm quyền điều khiển Chromecast nhà “hàng xóm” chỉ trong vài phút.
CastHack có thể bị khai thác qua internet, trong khi các cuộc tấn công của năm 2014 và 2016 được thực hiện trong phạm vi của mạng Wi-Fi. Tuy nhiên, cả hai cuộc tấn công đều cho phép tin tặc kiểm soát nội dung trên TV từ Chromecast. Điều này là cực kỳ nguy hiểm với các hacker nhắm mục tiêu là lừa đảo.
Một nhà nghiên cứu bảo mật cảnh báo, những lỗ hổng này sẽ còn là mối nguy đến các thiết bị gia đình thông minh khác, ví dụ như Amazon Echo - một chiếc loa thông minh điều khiển bằng giọng nói. Việc tấn công rất đơn giản, do Chromecast bị chiếm quyền để phát một nội dung video bất kỳ, đối tượng tấn công có thể tạo một video có giọng nói nhằm ra lệnh cho Amazon Echo. Từ đó mọi hoạt động hay thậm chí thông tin cá nhân trong nhà các thể bị khai thác.
Amazon Echo và các thiết bị thông minh khác không được đề cập trong vụ tấn công CastHack. Tuy nhiên những thiết bị IoT này không hẳn là an toàn. Cách đây không lâu, nhà nghiên cứu bảo mật người Canada là Render Man chỉ ra cách sử dụng bộ chuyển đổi âm thanh vào cửa sổ nhằm lừa thiết bị Amazon Echo trong nhà ra lệnh mở khóa cổng chính một ngôi nhà (do nhà sử dụng khóa thông minh điều khiển từ xa bằng giọng nói cho cửa).
HackerGiraffe cho biết những cuộc tấn công của họ thực ra có mục đích phơi bày những lỗ hổng bảo mật chứ không phải chỉ nhằm quảng cáo cho kênh YouTube PewDiePie. Đây không phải là một cảnh báo thừa. Với việc người người, nhà nhà ngày càng sử dụng đến các thiết bị thông minh có kết nối internet (IoT), khả năng bị tấn công từ xa là hoàn toàn có thể xảy ra và nó có thể gây nhiều hậu quả nghiêm trọng.
An Nhiên
Tư dinh giới siêu giàu có thể là "mồi ngon" cho hacker
Sự phát triển của "Internet vạn vật" đã mang tới một kỷ nguyên an ninh cá nhân mới, đặc biệt là đối với giới siêu giàu.