WuKong_top1
Writer
TP-Link - hãng camera quen mặt với nhiều người Việt Nam vừa phát hành bản vá cho một lỗ hổng nghiêm trọng ảnh hưởng tới hơn 32 mẫu camera giám sát chuyên dụng thuộc hai dòng VIGI C và VIGI InSight. Lỗ hổng có thể bị khai thác để chiếm quyền điều khiển camera từ xa, đe dọa trực tiếp tới an ninh hệ thống giám sát.
Theo thông tin từ hãng, lỗi nằm ở chức năng lấy lại mật khẩu của camera. Do thiết kế chưa an toàn, kẻ xấu có thể tìm cách bỏ qua bước kiểm tra bảo mật và tự đặt lại mật khẩu quản lý camera. Khi đó, camera sẽ không còn thuộc quyền kiểm soát của chủ nhà nữa.
Theo thông tin từ hãng, lỗi nằm ở chức năng lấy lại mật khẩu của camera. Do thiết kế chưa an toàn, kẻ xấu có thể tìm cách bỏ qua bước kiểm tra bảo mật và tự đặt lại mật khẩu quản lý camera. Khi đó, camera sẽ không còn thuộc quyền kiểm soát của chủ nhà nữa.
Điều nguy hiểm là sau khi chiếm quyền, kẻ xấu có thể xem trộm hình ảnh trong nhà, theo dõi sinh hoạt hằng ngày, tắt camera từ xa, thay đổi cài đặt hoặc lợi dụng camera để xâm nhập sâu hơn vào mạng Internet gia đình. Nói cách khác, camera vốn để bảo vệ lại có thể trở thành “cửa hậu” cho kẻ xấu.
Trong một đợt kiểm tra vào tháng 10/2025, hơn 2.500 camera bị phát hiện đang bị mở công khai trên Internet, dù mới chỉ kiểm tra trên một mẫu camera. Con số thực tế có thể còn lớn hơn nhiều, đặc biệt tại những nơi người dùng lắp camera nhưng không thay đổi cài đặt mặc định.
Camera TP-Link VIGI hiện được sử dụng rộng rãi tại hơn 36 quốc gia, trong đó có Việt Nam. Không chỉ doanh nghiệp hay cửa hàng, nhiều gia đình cũng bắt đầu dùng camera kết nối Internet để trông nhà, trông trẻ, trông xe. Tuy nhiên, các chuyên gia cảnh báo rằng camera ngày nay không chỉ là thiết bị ghi hình mà còn là một thiết bị mạng, nếu không được bảo vệ đúng cách sẽ rất dễ bị tấn công.
Người dùng Việt Nam nên lưu ý:
- Cập nhật phần mềm hệ thống (firmware) mới nhất cho camera TP-Link VIGI ngay khi có bản vá
- Không đưa trang quản trị camera lên Internet công cộng, chỉ cho phép truy cập trong mạng nội bộ
- Đặt mật khẩu đủ mạnh, không sử dụng mật khẩu mặc định do nhà sản xuất cung cấp
- Giới hạn quyền truy cập quản trị, chỉ cho phép các địa chỉ mạng nội bộ hoặc kết nối thông qua mạng riêng ảo (VPN)
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview