Tivi TCL bị phát hiện thu thập dữ liệu của người dùng

Tivi TCL dính lỗ hổng nghiêm trọng

John Jackson và một nhà nghiên cứu có biệt danh “Sick Codes” đã phát hiện ra rằng họ có thể truy cập vào hệ thống tệp tin của tivi thông minh TCL và ghi đè nội dung thông qua kết nối WiFi. Tất cả điều này có thể được thực hiện mà không cần nhập tên người dùng, mật khẩu hoặc bất kỳ loại ủy quyền nào. 

Hiện tại, hai lỗ hổng CVE-2020-27403 và CVE-2020-28055 đã được vá trên mẫu tivi mà Sick Codes và Jackson phân tích, tuy nhiên không phải tất cả các mẫu tivi khác cũng nhận được bản vá. 

tivi-tcl

Một mẫu tivi TCL đang được bán ra trên thị trường. Ảnh: TCL

Tivi TCL có đang thu thập dữ liệu của người dùng?

Ngoài lỗ hổng kể trên, hai nhà nghiên cứu còn phát hiện ứng dụng Terminal Manager Remote trên tivi được cấu hình để xử lý các tệp, nhật ký và ảnh chụp màn hình liên quan đến tivi của người dùng.

Sick Codes và Jackson cho biết họ đã cố gắng liên hệ với TCL bằng email, Twitter, điện thoại để thông báo với công ty về lỗ hổng từ ngày 16-10, tuy nhiên đến ngày 26-10 họ mới nhận được xác nhận rằng tin nhắn đã được nhận. 

“Tôi đã gọi cho TCL và nói chuyện với một người đại diện, tuy nhiên cô ấy nói rằng không có thông tin về nhóm bảo mật của công ty”, Sick Codes viết trong bài đăng trên blog. 

Vào ngày 29-10, lỗ hổng bất ngờ đã được vá trên mẫu tivi mà hai nhà nghiên cứu đã kiểm tra trước đó mà không có bất kỳ thông báo, cảnh báo hoặc yêu cầu người dùng cấp phép. “Đây là một bản vá hoàn toàn im lặng, về cơ bản, họ đã đăng nhập vào tivi của tôi và vá lỗ hổng, một cửa hậu trên tivi”, Sick Codes cho biết.  

Nếu đang sử dụng tivi thông minh TCL, trước hết hãy kiểm tra xem thiết bị có đang chạy phiên bản Roku hay không, bởi những thiết bị này sẽ không bị ảnh hưởng bởi lỗ hổng. Ngược lại, người dùng cần phải đặt mật khẩu mạnh cho mạng WiFi gia đình, không cung cấp mật khẩu cho người khác.  

Bên cạnh đó, bạn cũng nên truy cập vào phần cài đặt của router và vô hiệu hóa quyền truy cập vào các thiết bị bên trong mạng thông qua Internet.