Trong bài viết được đăng tải trên trang arxiv.org, 3 nhà nghiên cứu người Anh và Italia (Ý) đã cảnh báo nguy cơ mất an toàn mà họ vừa tìm thấy trong một smart light bulb (bóng đèn thông minh) đang được bán rộng rãi.
Các nhà nghiên cứu đã chọn TP-Link Tapo L530E, smart light bulb hiện đang được bán chạy nhất trên Amazon Italia để nghiên cứu và kết quả là tìm ra một loạt lỗ hổng mà kẻ xấu có thể sử dụng để thu thập dữ liệu nhạy cảm của người dùng.
Cụ thể giống như nhiều thiết bị smarthome (nhà thông minh) khác, Tapo L530E được thiết kế để có thể thiết lập nhanh chóng và dễ dàng qua Wifi.
Bằng cách bật và tắt liên tục Tapo L530E trong 1 giây, bạn có thể chuyển nó vào chế độ thiết lập, khi đó bóng đèn sẽ tự động nhấp nháy 3 lần và tự biến thành một điểm truy cập Wifi tạm thời với tên "Tapo Bulb XXXX" trong đó chữ X tạo thành từ một chuỗi chữ số.
Người dùng có thể kết nối với điểm truy cập tạm thời này (không có mật khẩu) bằng 1 app (ứng dụng) trên smartphone (điện thoại thông minh) trước khi thực hiện các bước tiếp theo để kết nối nó với wifi tại nhà hoặc doanh nghiệp.
Nguy cơ đến từ việc smartphone của người dùng không thể nhận ra rằng nó thực sự đang kết nối với các bóng đèn chính hãng trong quá trình thiết lập nói trên. Tức là kẻ xấu có thể tạo ra điểm truy cập tạm thời để đánh lừa bạn, thu thập không những mật khẩu wifi mà còn tài khoản TP-Link của người dùng.
Những lỗ hổng tiếp theo đó là việc kẻ xấu có thể dễ dàng bẻ khóa hay lạm dụng việc bật - tắt để cấu hình lại những bóng đèn cũ, tất cả để tìm ra những mật khẩu đã được lưu trữ trên nó.
Các nhà nghiên cứu cũng lưu ý về việc họ đã cảnh báo TP-Link về các lỗ hổng này và nhận được phản hồi như sau:
"Chúng tôi đã liên hệ với TP-Link một cách nghiêm túc thông qua VRP (Vulnerability Research Program/Chương trình Nghiên cứu Lỗ hổng) của họ, báo cáo về 4 lỗ hổng mà chúng tôi tìm thấy.
Họ thừa nhận tất cả những lỗi đó và thông báo với chúng tôi rằng họ đã bắt đầu nghiên cứu các bản sửa lỗi ở cả app lẫn trình cài đặt cơ sở của bóng đèn. Đồng thời họ (TP-Link) cho biết sẽ phát hành chúng vào thời điểm thích hợp".
Có thể nói nếu bạn đang muốn mua smart light bulb, tính năng được đánh giá là "hay ho" với chi phí hợp lý của TP-Link, có thể bạn nên chờ thêm một chút cho tới khi hãng tung ra các bản sửa lỗi.
