Các nhà nghiên cứu của Cybernews đã tiết lộ về một vụ rò rỉ dữ liệu ảnh hưởng đến người dùng máy ảnh di động Lifeprint. Thương hiệu này sản xuất máy in ảnh lấy liền cho các thiết bị di động như iPhone và Android, cho phép người dùng in ảnh và gửi ảnh động (GIF) trực tiếp từ điện thoại. Máy in này thuộc sở hữu của C+A Global, một công ty đăng ký kinh doanh tại bang New Jersey, Hoa Kỳ vào năm 2003. Điều đáng nói, ứng dụng liên quan đến vụ rò rỉ này được tất cả người dùng máy in Lifeprint sử dụng để in ảnh và chia sẻ ảnh chụp nhanh hoặc clip trực tiếp đến máy in của người khác. Ứng dụng này có hơn 100.000 lượt tải xuống trên Google Play.

Vụ rò rỉ xảy ra do một vùng (bucket) bị cấu hình sai và thiếu xác thực. Bất kỳ người dùng Internet nào cũng có thể truy cập hơn 08 triệu tệp dữ liệu, bao gồm 02 triệu ảnh riêng biệt, xuất dữ liệu người dùng ở định dạng JSON và CSV, cùng danh sách tên người dùng, địa chỉ email và số liệu thống kê in ấn của hơn 100.000 người dùng.

Theo siêu dữ liệu được lưu trữ, những người dùng này đã in 1,6 triệu bức ảnh cùng nhau.

Nguy cơ bị chiếm quyền điều khiển máy in

Nhóm nghiên cứu cũng phát hiện ra rằng, bucket đám mây công cộng chứa nhiều phiên bản firmware của máy in. Được biết, firmware là một loại phần mềm hệ thống đặc biệt, được lưu trữ trực tiếp trên các bộ nhớ chỉ đọc (ROM) hoặc bộ nhớ flash của thiết bị điện tử để điều khiển phần cứng hoạt động một cách chính xác và ổn định.. Bên trong các tệp tin là một khóa mã hóa riêng tư, được để ở dạng văn bản thuần túy, dường như được sử dụng để ký firmware.

Việc tiết lộ khóa theo cách này sẽ vô hiệu hóa hoàn toàn biện pháp bảo mật. Nếu máy in được cấu hình để tìm kiếm các tệp mới trên bucket để khởi tạo các bản cập nhật, việc khai thác khóa có thể cho phép kẻ tấn công tạo và ký firmware độc ​​hại.

Từ đây, chúng có thể tải nó lên bucket và có khả năng kích hoạt các bản cập nhật tự động trên thiết bị của người dùng. Nếu kịch bản lý thuyết này là có thật, nó sẽ cho phép kẻ tấn công chiếm quyền điều khiển máy in và khiến chúng chạy mã tùy chỉnh, hoặc thậm chí đưa chúng vào mạng lưới máy tính hoặc thiết bị bị nhiễm phần mềm độc hại (botnet).

Tại sao việc rò rỉ lại quan trọng?

Người dùng Lifeprint phải đối mặt với nhiều rủi ro, chẳng hạn như lộ danh tính thông qua thông tin cá nhân bị rò rỉ. Ảnh bị rò rỉ thường có thể mang tính riêng tư, tiết lộ đời tư của người dùng cho bất kỳ ai trên Internet. Ngoài ra, thông tin cá nhân bị rò rỉ có thể được sử dụng cho mục đích đánh cắp danh tính, quấy rối và tấn công doxxing.

“Đây là một ví dụ điển hình về những điều không nên làm với cơ sở hạ tầng IoT”, một nhà nghiên cứu của Cybernews cho biết.

“Vụ rò rỉ này cho thấy nhiều sai lệch so với các thông lệ tốt nhất, chẳng hạn như không phân tách dữ liệu người dùng đúng cách, công bố khóa mật mã cùng với firmware, không áp dụng các biện pháp kiểm soát truy cập phù hợp để đảm bảo chỉ những người dùng dự định mới có thể truy cập tệp và dữ liệu của họ”, các chuyên gia cho biết thêm.

Ngoài ra, về mặt lý thuyết, người dùng bị ảnh hưởng có nguy cơ bị firmware độc ​​hại chiếm quyền điều khiển thiết bị. Các chuyên gia nghiên cứu đã liên hệ với công ty nhưng không nhận được phản hồi.

Hà Linh