Các nhà nghiên cứu tại hội nghị 39C3 đã tiết lộ lỗ hổng nghiêm trọng trên đồng hồ Xplora, cho phép truy cập trái phép vào dữ liệu liên lạc của trẻ em thông qua một mã khóa chung.
Tại hội nghị bảo mật 39C3, các chuyên gia an ninh mạng từ một trường đại học của Đức đã công bố phát hiện gây sốc liên quan đến dòng đồng hồ thông minh dành cho trẻ em của thương hiệu Xplora. Theo báo cáo, một lỗ hổng trong hệ thống mã hóa đã khiến hàng loạt thiết bị này đứng trước nguy cơ bị xâm nhập dữ liệu quy mô lớn.
Các nhà nghiên cứu chỉ ra rằng Xplora đã sử dụng một mã khóa vạn năng (universal key) cho toàn bộ các đơn vị sản phẩm được bán ra thị trường. Trong lĩnh vực an ninh mạng, việc sử dụng chung một khóa mật mã cho nhiều thiết bị là một sai lầm cơ bản, vì nếu tin tặc bẻ khóa được một thiết bị, họ có thể sử dụng cùng phương thức đó để truy cập vào mọi thiết bị khác cùng dòng.
Lỗ hổng này cho phép kẻ tấn công có thể can thiệp và theo dõi các kênh liên lạc giữa trẻ em và phụ huynh. Điều này bao gồm cả tin nhắn, cuộc gọi và các dữ liệu nhạy cảm khác vốn được thiết kế để bảo vệ an toàn cho trẻ nhỏ.
Đáng chú ý, nhóm nghiên cứu cho biết mặc dù Xplora đã phát hành các bản cập nhật phần mềm trước đó, nhưng những nỗ lực này vẫn chưa giải quyết triệt để vấn đề cốt lõi. Cấu trúc bảo mật lỏng lẻo vẫn tồn tại, khiến các biện pháp khắc phục của nhà sản xuất trở nên kém hiệu quả trước các kỹ thuật bẻ khóa chuyên sâu.
Phát hiện này tại 39C3 đặt ra một dấu hỏi lớn về quy trình kiểm soát chất lượng an ninh trên các thiết bị IoT (Internet of Things) dành cho đối tượng trẻ em. Các chuyên gia khuyến cáo người dùng cần thận trọng và yêu cầu nhà sản xuất phải có những thay đổi mang tính hệ thống trong cách quản lý mã khóa bảo mật để đảm bảo quyền riêng tư cho người dùng nhỏ tuổi.
