Bảo mật cho đồng hồ thông minh

Đồng hồ thông minh nhanh chóng trở nên phổ biến, nhưng liệu loại thiết bị này có an toàn về mặt bảo mật?

Thời gian dùng pin được bao lâu? Nền tảng của Apple hay của Google tốt hơn? Có thể thực hiện thanh toán qua nó được hay không?… Có vẻ như mọi người ai cũng có nhiều câu hỏi liên quan đến đồng hồ thông minh mà chúng ta dự định tìm mua, nhưng lại có rất ít thắc mắc về tính bảo mật của dòng sản phẩm này. Chúng có thể bị hack hay không? Đồng hồ thông minh có bị nhiễm malware hay không? Dữ liệu cá nhân có dễ bị lấy cắp hay bị mất? Kẻ xấu có thể vô hiệu hoá từ xa đồng hồ hay không?

Những câu hỏi bảo mật như vậy cũng có thể áp dụng cho điện thoại thông minh, là thiết bị mà đồng hồ thông minh được đồng bộ khi sử dụng. Cũng như điện thoại thông minh trong thời gian đầu xuất hiện, có vẻ như mọi người còn chưa mấy quan tâm nhiều đến khả năng bảo mật của đồng hồ thông minh.

Một điều mà chúng ta cần phải công nhận trước khi đào sâu vấn đề này là bảo mật cho đồng hồ thông minh không phải là vấn đề nhỏ. Thiết bị đeo trên cổ tay, có màn hình nhỏ xíu như vậy có phải là thiết bị thay thế cho chiếc điện thoại thông minh đang bỏ trong túi áo, túi quần của chúng ta? Đây là cách nhìn nhận của số đông người dùng, cùng với suy nghĩ là dữ liệu trên điện thoại thông minh hiện thời là an toàn, nên đồng hồ thông minh ít liên quan đến bảo mật.

Nhưng thực tế lại không như vậy. Các nhà nghiên cứu ở công ty bảo mật Trend Micro vừa mới phát hiện những vấn đề liên quan đến bảo mật khi họ tiến hành kiểm tra vài đồng hồ thông minh phổ biến trên thị trường. Apple Watch, Motorola Moto 360 và Pebble đã được nhóm nghiên cứu thử nghiệm về tính bảo mật về phần cứng, kết nối dữ liệu và lưu trữ dữ liệu. Chuyên gia bảo mật Trend Micro cho rằng các nhà sản xuất vì tính tiện dụng mà bỏ lơ tính bảo mật. Họ đã nhận thấy các đồng hồ thông minh đều lưu dữ liệu ngay bên trên thiết bị, tạo cơ hội cho tin tặc có thể truy cập được khi đồng hồ không đồng bộ với điện thoại.

Cả đồng hồ của Apple và đồng hồ chạy Android đều lưu các thông báo chưa đọc và dữ liệu về sức khoẻ và lịch làm việc ngay bên trong thiết bị. Apple Watch còn thêm hình ảnh, địa chỉ liên lạc và thông tin Passbook vào danh sách dữ liệu lưu trên đồng hồ. Thông tin Passbook có thể chứa nhiều dữ liệu nhạy cảm nên người dùng đồng hồ thông minh cần rất cẩn thận khi sử dụng.

Ý tưởng đồng bộ dữ liệu từ smartphone lên smartwatch để người dùng có thể đọc được thông tin trên giao diện đồng hồ lại gây ra rủi ro bảo mật. Với Apple Watch, thiết bị này lại cho phép chứa nhiều dữ liệu hơn cả dữ liệu cần được hiển thị. Nghiên cứu của Trend Micro cho thấy chiếc đồng hồ thông minh này chỉ “thông minh” ở giao diện bên ngoài mà thôi.

Công ty HP mới đây cũng tiến hành rà soát bảo mật trong đồng hồ thông minh, và kết quả cũng không mấy khả quan. Một lần nữa, mọi thiết bị được đưa vào thử nghiệm có rất nhiều lỗ hổng bảo mật. Trung tâm bảo mật HP Fortify cảnh báo về khả năng xác thực kém, giao diện web không an toàn, giúp cho kẻ xấu nhận diện được tài khoản người dùng thông qua các cơ chế reset mật khẩu, và mã hoá dữ liệu yếu khi truyền dữ liệu. Mã hoá dữ liệu là yếu tố mà HP nhấn mạnh hơn cả. Trong khi mọi thiết bị đều có thiết lập mã hoá SSL/TLS, HP phát hiện có 40% đồng hồ thông minh đều “phơi” ra trước các kiểu tấn công POODLE (là một lỗi phổ biến, cho phép kẻ xấu dễ dàng can thiệp, tấn công man-in-the-middle vào cơ chế mã hoá để truyền dữ liệu), hoặc vẫn sử dụng các giao thức cũ như SSL 2.0.

Trong khi đó, giám đốc chiến lược của AdaptiveMobile, cho rằng nguy cơ về gửi tin nhắn không được phép mới là yếu tố cần quan tâm nhất về bảo mật cho đồng hồ thông minh. Đồng hồ thông minh cũng có một trong những rủi ro bảo mật giống với điện thoại di động, đó là tính năng thông báo trên màn hình khoá. Nếu kẻ xấu chiếm quyền điều khiển giao diện này thì có thể tương tác giữa người dùng với thiết bị sẽ bị can thiệp. Tiếp theo, một vấn đề nhỏ nhưng cũng quan trọng không kém, đó là cập nhật firmware. Những cập nhật này không có bất kỳ cơ chế mã hoá nào, kể cả file cập nhật cũng không được mã hoá. Có thể điều này không mấy quan trọng vì hầu hết cập nhật được được chứng thực để ngăn không cho cài đặt mã độc, nhưng việc thiếu mã hoá tạo điều kiện cho kẻ xấu dễ dàng tải về và phân tích firmware. Có vẻ như các nhà sản xuất quá chú trọng đến thiết kế và tính năng của đồng hồ thông minh, mà lãng quên mảng bảo mật cho thiết bị.

smartwatch-1

Đồng hồ malware

Một chuyên gia kiểm lỗi bảo mật cho rằng một phần của vấn đề bảo mật ở đồng hồ thông minh là chúng gần như chạy một hệ điều hành hoàn chỉnh, nên chúng hầu như có thể kết nối Internet một cách độc lập. Các ứng dụng cho đồng hồ thông minh có xu hướng yêu cầu được cấp phép toàn bộ để ứng dụng có thể hoạt động tốt được. Nếu đồng hồ bị nhiễm malware hay một ứng dụng độc hại nào đó cài đặt trên đồng hồ thì chúng có thể truy cập được đến nhiều dữ liệu.

Cho đến nay, chưa có nhiều trường hợp tấn công đồng hồ thông minh, nhưng các chuyên gia bảo mật dự liệu rằng chuyện này sớm muộn gì cũng sẽ xảy ra, khi các hệ thống thanh toán di động bắt đầu phổ biến.

Google và Apple đã có những cách làm mạnh tay để bảo vệ, chống malware xâm nhập từ đồng hồ lên điện thoại, nhưng họ lại cảnh báo rằng “một số ứng dụng của điện thoại có thể cài trên đồng hồ thông minh nhưng lúc đó chúng lại hoạt động khác, khiến các nhà nghiên cứu bảo mật khó phân tích và nhận diện được malware”.

Một điều may mắn hiện thời là trên thị trường vẫn còn ít sản phẩm đồng hồ thông minh, chí ít là đến nay, nên các chuyên gia bảo mật dễ dàng nắm bắt tình hình hơn. Nói cách khác, bảo mật trên đồng hồ thông minh chưa phải là “hiện tượng” mà nhiều người dự đoán trước đây, vì với những hệ điều hành thứ cấp, không mấy quan trọng thì rủi ro càng thấp, là mục tiêu ít bị kẻ xấu chú ý hơn.

Điện thoại thông minh phổ biến hơn đồng hồ thông minh, chứa nhiều dữ liệu nhạy cảm hơn, là đích ngắm béo bở hơn và có kết nối trực tiếp với hệ thống mạng, Internet. Nhưng những bảo mật lỏng lẻo, dễ vượt mặt trên đồng hồ thông minh có thể khiến kẻ xấu quan tâm hơn.

martian-notifier-watch-1
Chỉ cần một cái liếc nhìn là kẻ xấu có thể đọc được nhiều thông tin nhạy cảm xuất hiện trên màn hình đồng hồ thông minh.

Tính riêng tư

Nếu malware không phải là mối đe doạ cho dữ liệu của bạn thì có lẽ chính bản thân người dùng mới là mối đe doạ. Bạn nghĩ thế nào nếu có ai đó đọc được tin nhắn hay email hiển thị trên cổ tay của bạn? Chuyện gì xảy ra nếu mã xác thực hai bước của bạn bỗng xuất hiện trên đồng hồ? Liệu tính năng chia sẻ dữ liệu “Shoulder surfing” có đảm bảo tính riêng tư? Theo chuyên gia bảo mật ở NTT Com Security, bản chất “always-on” (luôn luôn bật) của đồng hồ chính là mối hiểm hoạ lớn hơn cả điện thoại. Đồng hồ luôn phơi ra cho bàn dân thiên hạ khi bạn đeo trên cổ tay, còn điện thoại chúng ta vẫn thường bỏ túi quần, túi áo. Những loại thông tin như vậy sẽ khiến cho người dùng dễ bị quấy rối nhiều hơn là các ý định hiểm ác khác. Mã xác thực hai bước gần như vô dụng nếu không có những thông tin khác như là mã PIN, mật khẩu hay file xác thực.

Trong khi đó, một chuyên gia bảo mật khác lại  bất đồng về quan điểm tính riêng tư. Ông cho rằng vì những điều khiển trên đồng hồ còn chưa phát triển “chín” nên các tính năng về chia sẻ dữ liệu mới chưa hoàn thiện. Nếu một người dùng quên khoá thiết bị thì sẽ có rủi ro là người khác có thể xem được những thông báo hiện ra trên đồng hồ của kẻ khác.

Do vậy, có thể màn hình khoá sẽ là công cụ tốt nhất để bảo vệ tính riêng tư cho đồng hồ thông minh. Ví dụ, Android Wear hiện đã hỗ trợ màn hình khoá, có trên các điện thoại thông minh chạy hệ điều hành Lollipop. Tuy nhiên, trừ khi một công cụ khoá có trên đồng hồ thì chỉ một cái liếc nhìn cổ tay người khác thì kẻ xấu cũng đọc được nhiều thông tin nhạy cảm.

Vậy nếu tính năng chia sẻ “shoulder surfing” có thể không dẫn đến rủi ro bảo mật thì điều gì đáng lo còn lại? Đồng bộ dữ liệu thông qua Bluetooth và Wi-Fi. Nếu kẻ xấu hình theo góc độ này thì đây là điều rất thú vị với chúng. Rất có thể tính năng AirDrop của Apple sẽ bị tận dụng để kẻ xấu gửi nội dung không mong muốn đến người dùng. Để chặn điều này, đồng hồ có thể đưa ra thông báo nhập mã PIN, mật khẩu.

Nhưng rủi ro lớn nhất là trộm cắp. Có thể đồng hồ thông minh khó bị lấy cắp hơn chiếc điện thoại, bởi vì đơn giản là chúng ta đeo nó trên cổ tay. Nhưng không phải vì thế mà nó luôn an toàn về mặt lý. Đồng hồ thông minh không có tính năng tựa như “Find My Watch” như trên iPhone hay iPad, nhưng chí ít nó cũng có một thiết lập cho phép xoá sạch dữ liệu sau 10 lần nhập sai mật khẩu. Với Android Wear, người dùng có thể kết nối đến Wi-Fi để thực hiện tính năng này từ xa, mặc dù thực sự tính năng này không xoá sạch toàn bộ dữ liệu trên thiết bị.

malware-from-phone-to-watch-copy
Malware có thể lây từ đồng hồ thông minh sang điện thoại, qua ứng dụng dùng chung.
apple-watch-wipeout-copy
Apple Watch có một thiết lập xoá sạch mọi dữ liệu sau 10 lần nhập sai mật mã.

Tấn công ứng dụng

Cuối cùng, ứng dụng hay tính năng an toàn nào được tích hợp vào trong thiết kế ứng dụng để ngăn ngừa tấn công? Một chuyên gia bảo mật cho rằng bản thân ứng dụng chính là lỗ hổng lớn nhất, ở nền tảng nào cũng vậy.

Theo MWR Labs, các nhà phát triển thường không nhận thức được sự thay đổi ở điện thoại thông minh để cho phép chúng có thể liên lạc được với đồng hồ thông minh tương ứng. Android Wear yêu cầu các nhà phát triển tạo một dịch vụ trong ứng dụng của họ, để tạo ra một “cửa ngõ” cho liên lạc dữ liệu giữa Android và Android Wear. Về lý thuyết, dịch vụ này chỉ có thể tương tác được với những thiết bị Android Wear mà thôi, nhưng các nhà bảo mật đã chứng minh được dịch vụ này cũng có thể liên lạc với một thiết bị đeo bất kỳ có quyền root (quyền cao nhất trong thiết bị).

Khi một điểm yếu trong một thiết bị có thể khiến nhiều thiết bị khác rơi vào tình trạng rủi ro chung nên điều quan trọng là cần đảm bảo bảo mật tốt cho những tính năng quản lý, như nhận diện quyền root, kiểm tra tính thống nhất, toàn vẹn dữ liệu và tính tương thích giữa ứng dụng cho Android Wear và Android. Còn với Apple Watch, MWR đã làm suy yếu được khả năng bảo mật của ứng dụng iOS để cho phép thông tin nhạy cảm hiện lên được trên đồng hồ thông minh.

Việc đảm bảo những ứng dụng luôn “sạch” và có gốc gác rõ ràng sẽ là trách nhiệm của các nhà sản xuất đồng hồ thông minh. Đó là trách nhiệm mà họ phải làm để đảm bảo an toàn cho người dùng của mình.

Theo Pcworld.com.vn

Bạn có quan tâm tới

Gần 90% tổ chức tại APAC sẽ ứng dụng IoT vào năm 2019

Theo dự báo của hãng phân tích thị