Các thiết bị đeo thông minh của Fitbit rất dễ bị tấn công qua Bluetooth. Ảnh: T.Luân.
Các nhà nghiên cứu tại Đại học Boston (BU) của Mỹ cho biết, họ đã phát hiện một lỗ hổng trong một số thiết bị sử dụng kết nối Bluetooth cấu hình cao, cho phép các bên thứ ba xác định vị trí và các thông tin nhạy cảm khác của người dùng.
Nếu rơi vào tay kẻ xấu, các thông tin này có thể sử dụng để theo dõi hoặc dùng vào các mục đích xấu. Điều này khá nhạy cảm khi hiện nay người dùng đang có xu hướng ưa thích sử dụng các thiết bị đeo.
Theo ZDNet, lỗ hổng này liên quan đến cách các thiết bị hỗ trợ ghép nối Bluetooth. Khi đó, một thiết bị sẽ đóng vai trò là trung tâm kết nối (chẳng hạn như điện thoại hay đồng hồ thông minh), thiết bị còn lại đóng vai trò là thiết bị ngoại vi. Khi thiết bị ngoại vi gửi tín hiệu chứa địa chỉ mạng duy nhất - tương tự địa chỉ IP - thiết bị nhận sẽ sử dụng nó để kết nối và truy cập dữ liệu.
Hầu hết các thiết bị này sẽ tạo ra một địa chỉ mạng ngẫu nhiên tự động cấu hình lại theo định kỳ. Điều đó có thể giúp bảo vệ quyền riêng tư của người dùng, nhưng chính nó cũng là “tử huyệt” khi các hacker dùng thuật toán nguồn mở gọi là "sniffer", giúp chúng có thể xác định các kết nối Bluetooth ngay cả khi địa chỉ mạng của thiết bị đã được thay đổi.
Dù lỗ hổng này không rò rỉ các dữ liệu cá nhân, nhưng nó có thể được dùng để theo dõi các thiết bị Bluetooth và người dùng. Nhưng may mắn là các nhà nghiên cứu cho biết các thiết bị dùng Android không dễ bị tấn công, trong khi các thiết bị sử dụng Windows 10 và iOS có thể bị hack và theo dõi.
Tệ hơn cả là các thiết bị Fitbit, bởi các mẫu Fibit không tự động cập nhật hay thay đổi địa chỉ mạng theo dạng ngẫu nhiên, khiến chúng dễ bị “tóm” hơn.
Có một cách để hạn chế lỗ hổng này, đơn giản nhất là tắt kết nối Bluetooth và sau đó bật lại, ít nhất là có thể áp dụng trên Windows 10 và iOS. Johannes Becker của BU cảnh báo, “có rất nhiều cách để theo dõi một ai đó, kể cả khi họ dùng hay không dùng thiết bị có kết nối Bluetooth”.
Điều quan trọng là bạn phải biết các thiết bị của bạn đang gửi những tín hiệu gì và ai có thể truy cập các thông tin nhạy cảm đó.