Phát hiện lỗ hổng bảo mật lớn trên TV thông minh của hãng TCL

Trước đó, 2 nhà nghiên cứu John Jackson và Sick Codes đã chia sẻ rằng có thể truy cập vào hệ thống tệp tin trên tivi TCL và ghi đè nội dung thông qua kết nối WiFi. Tất cả điều này có thể được thực hiện mà không cần nhập tên người dùng, mật khẩu hoặc bất kỳ loại ủy quyền nào. 

Ngoài lỗ hổng kể trên, hai nhà nghiên cứu còn phát hiện ứng dụng Terminal Manager Remote trên tivi được cấu hình để xử lý các tệp, nhật ký và ảnh chụp màn hình liên quan đến tivi của người dùng.

Sick Codes và Jackson cho biết họ đã cố gắng liên hệ với TCL bằng email, Twitter, điện thoại để thông báo với công ty về lỗ hổng từ ngày 16/10, tuy nhiên đến ngày 26/10 họ mới nhận được xác nhận rằng tin nhắn đã được nhận. 

Đến ngày 29/10, hai lỗ hổng CVE-2020-27403 và CVE-2020-28055 đã âm thầm được TCL vá mà không có thông báo nào. Nhà nghiên cứu này cho biết rằng về cơ bản, TCL đã đăng nhập vào vá lỗ hổng, một cửa hậu trên TV. Điều này có nghĩa là công ty có toàn quyền truy cập vào các thiết bị của người dùng.

Do đó, việc này sẽ khiến người dùng có nguy cơ bị mất cắp dữ liệu. Một đại diện của TCL nói rằng có một lỗ hổng bảo mật được phát hiện gần đây trên tivi TCL (dưới 2%) nhưng chúng TCL đã nhanh chóng kiểm tra và khắc phục vấn đề.

Hiện vấn đề lỗ hổng bảo mật nói trên vẫn đang được điều tra và làm rõ, Backdoor nghĩa là cửa hậu, việc thiết bị có cửa hậu sẽ cho phép nhà sản xuất thiết bị hoặc tin tặc có thể xâm nhập vào hệ thống, thiết bị mà không bị phát hiện.