Lỗ hỏng bảo mật của Hello Barbie gây sự chú ý của tin tặc?

00:00, 30/11/-0001

Đây là đồ chơi cho trẻ em, hay đồ chơi của tin tặc (hacker)?

Hello Barbie0

Hello Barbie, búp bê có kết nối Internet mang tính biểu tượng của Mattel, hiện được nhận định là có vài điểm bất an về bảo mật. Các nhà nghiên cứu bảo mật máy tính khi thâm nhập vào ứng dụng kèm theo của loại đồ chơi này đã khám phá ra nhiều lỗ hổng và chúng có thể cho phép tin tặc nghe trộm các cuộc đối thoại thông qua Hello Barbie và thâm nhập vào các máy chủ đám mây mà đồ chơi này kết nối tới.

Các loại búp bê Hello Barbie hiện nay đều sử dụng Wi-Fi để truyền tải âm thanh từ trẻ em (khi chúng chuyện trò với búp bê) đến các máy chủ để xử lý thông tin đưa ra và chuẩn bị cho các câu trả lời. Loại búp bê này hoạt động giống với trợ lý kỹ thuật số Siri của Apple hay Cortana của Microsoft.

Andrew Hay, Giám đốc nghiên cứu ở OpenDNS của Cisco cùng các nhà nghiên cứu tại Bluebox Security, một công ty về bảo mật có trụ sở tại San Francisco đều tìm thấy rằng đồ chơi này sử dụng một ID kỹ thuật số cho phép những kẻ tấn công có thể lợi dụng để giám sát các cuộc trò chuyện từ búp bê đến máy chủ. Các lỗ hổng được phát hiện ảnh hưởng đến các phiên bản ứng dụng Hello Barbie chạy trên hệ điều hành Android của Google cũng như iOS của Apple.

Ngoài ra, các nhà nghiên cứu còn tìm thấy rằng các loại điện thoại với ứng dụng sẽ tự động kết nối với bất kỳ mạng Wi-Fi nào có tên "Barbie" trong danh sách tên WiFi của chúng. Các máy chủ liên kết với Hello Barbie đều dễ bị Poodle, một lỗi mã hóa mà các nhà nghiên cứu Google đã dóng lên hồi chuông báo động hơn một năm trước đây. 

Để thiết kế búp bê và ứng dụng, Mattel MAT đã hợp tác với ToyTalk, một start-up công nghệ cao được thành lập bởi cựu giám đốc điều hành của hãng Pixar vào năm 2011 đã gây quỹ được 31 triệu USD tiền vốn liên doanh cho đến nay. Bluebox đã cảnh báo cho công ty về vấn đề này trước khi phát hành báo cáo của mình.

"Chúng tôi đã làm việc với Bluebox và đánh giá cao công bố của họ về các vấn đề liên quan đến Hello Barbie", Martin Reddy, Giám đốc công nghệ và đồng sáng lập của ToyTalk bày tỏ. Ông cho biết hãng đã vá các lỗ hổng Poodle, mặc dù không nói rõ về vấn đề ID kỹ thuật số, hoặc xác thực tính ổn định.

Hello Barbie, búp bê có kết nối Internet mang tính biểu tượng của Mattel, hiện được nhận định là có vài điểm bất an về bảo mật. Các nhà nghiên cứu bảo mật máy tính khi thâm nhập vào ứng dụng kèm theo của loại đồ chơi này đã khám phá ra nhiều lỗ hổng và chúng có thể cho phép tin tặc nghe trộm các cuộc đối thoại thông qua Hello Barbie và thâm nhập vào các máy chủ đám mây mà đồ chơi này kết nối tới.

Các loại búp bê Hello Barbie hiện nay đều sử dụng Wi-Fi để truyền tải âm thanh từ trẻ em (khi chúng chuyện trò với búp bê) đến các máy chủ để xử lý thông tin đưa ra và chuẩn bị cho các câu trả lời. Loại búp bê này hoạt động giống với trợ lý kỹ thuật số Siri của Apple hay Cortana của Microsoft.

Andrew Hay, Giám đốc nghiên cứu ở OpenDNS của Cisco cùng các nhà nghiên cứu tại Bluebox Security, một công ty về bảo mật có trụ sở tại San Francisco đều tìm thấy rằng đồ chơi này sử dụng một ID kỹ thuật số cho phép những kẻ tấn công có thể lợi dụng để giám sát các cuộc trò chuyện từ búp bê đến máy chủ. Các lỗ hổng được phát hiện ảnh hưởng đến các phiên bản ứng dụng Hello Barbie chạy trên hệ điều hành Android của Google cũng như iOS của Apple.

Ngoài ra, các nhà nghiên cứu còn tìm thấy rằng các loại điện thoại với ứng dụng sẽ tự động kết nối với bất kỳ mạng Wi-Fi nào có tên "Barbie" trong danh sách tên WiFi của chúng. Các máy chủ liên kết với Hello Barbie đều dễ bị Poodle, một lỗi mã hóa mà các nhà nghiên cứu Google đã dóng lên hồi chuông báo động hơn một năm trước đây. 

Để thiết kế búp bê và ứng dụng, Mattel MAT đã hợp tác với ToyTalk, một start-up công nghệ cao được thành lập bởi cựu giám đốc điều hành của hãng Pixar vào năm 2011 đã gây quỹ được 31 triệu USD tiền vốn liên doanh cho đến nay. Bluebox đã cảnh báo cho công ty về vấn đề này trước khi phát hành báo cáo của mình.

"Chúng tôi đã làm việc với Bluebox và đánh giá cao công bố của họ về các vấn đề liên quan đến Hello Barbie", Martin Reddy, Giám đốc công nghệ và đồng sáng lập của ToyTalk bày tỏ. Ông cho biết hãng đã vá các lỗ hổng Poodle, mặc dù không nói rõ về vấn đề ID kỹ thuật số, hoặc xác thực tính ổn định.