Hai lỗ hổng có tên mã CVE-2020-27403 và CVE-2020-28055 được phát hiện bởi nhóm chuyên gia bảo mật Mỹ gồm hai nhà nghiên cứu độc lập được biết đến với biệt danh "Sick Codes" và John Jackson - một kỹ sư bảo mật ứng dụng của Shutterstock. Cả Sick Codes và Jackson nhấn mạnh hai lỗ hổng này "đặc biệt nguy hiểm".
Trong đó, CVE-2020-27403 cho phép kẻ tấn công từ xa tải xuống hầu hết các tệp hệ thống của TV cũng như hình ảnh, dữ liệu cá nhân, mã bảo mật cho các ứng dụng được kết nối... lưu trên TV TCL thông qua một chiếc smartphone Android sử dụng trình duyệt Chrome mà không cần đặc quyền hệ thống nào. Tương tự, CVE-2020-28055 cho phép kẻ gian truy cập dễ dàng vào dữ liệu cục bộ của TV, sau đó đọc và ghi vào các thư mục tài nguyên quan trọng, gồm cả thư mục nâng cấp của nhà cung cấp.
Hai lỗ hổng ảnh hưởng đến các dòng Smart TV chạy Android của TCL, chủ yếu là các mẫu V8-R851T02-LF1 V295 và V8-T658T01-LF1 V373 trở về trước. Nhóm nghiên cứu sau đó đã báo cáo lỗ hổng cho Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) và Nhóm Ứng cứu khẩn cấp máy tính Mỹ (US-CERT).
"Bất kỳ ai đang sử dụng Internet chung với TV đều có thể tải xuống bất kỳ tập tin nào họ muốn. Điều đó đồng nghĩa rằng, mọi thứ từ tệp hình ảnh đến cơ sở dữ liệu TV đều có thể bị đánh cắp mà không cần đến những thủ thuật phức tạp", Sick Codes cho biết trong một cuộc phỏng vấn qua nền tảng Signal.
Jackson đánh giá lỗ hổng CVE-2020-28055 nguy hiểm hơn do nó cho phép hacker thực thi từ xa. "Kẻ xấu có thể lợi dụng để truyền các tập tin độc hại, mã độc tống tiền từ TV này qua TV khác. Với hàng triệu TV TCL đang được bán trên toàn cầu, điều này thực sự nghiêm trọng", Jackson nói.
Các nhà nghiên cứu cho biết đã gửi báo cáo về lỗi CVE-2020-27403 và CVE-2020-28055 đến TCL từ đầu tháng 10, nhưng không được phản hồi. Chỉ sau khi liên hệ với Roku - đối tác bảo mật của TCL - Sick Codes và Jackson mới nhận được trả lời. Trong email ngày 29/10, Eric Liang của TCL đã cảm ơn hai nhóm nghiên cứu đã phát hiện lỗ hổng và hứa sẽ sửa chữa nhanh chóng. Nhưng sau đó, không có thông tin liên lạc nào nữa.
TCL đã âm thầm vá các lỗ hổng trên mà không có bất kỳ cảnh báo nào. Đầu tháng 11, Sick Codes và Jackson phát hiện vấn đề đã được khắc phục. Lúc này, các chuyên gia bảo mật nảy sinh nghi vấn rằng, công ty Trung Quốc đã biết sự tồn tại của lỗ hổng này. "Một bản vá hoàn toàn âm thầm", Sick Code nói.
Nhóm bảo mật này nghi ngờ rằng TCL từ lâu đã duy trì quyền truy cập từ xa vào TV người dùng và lỗ hổng thực chất là một "cửa hậu" (backdoor) được tạo ra để giúp họ làm điều đó. "Chính xác đó là một cửa hậu. Nếu họ muốn, họ có thể bật hoặc tắt TV, bật hoặc tắt máy ảnh và micro. Họ có toàn quyền truy cập", Sick Code giải thích.
Jackson đồng ý với suy đoán này. "Nếu là một bản cập nhật, tại sao nó không được công bố? Thông thường, những bản vá như vậy là hàng GB dữ liệu. Không thể có chuyện họ tự đẩy lượng dữ liệu đó để cập nhật cho TV mà không có một thông báo, cũng chẳng có lời khuyên. Không có gì", Jackson chia sẻ.
TCL là hãng điện tử có trụ sở tại Quảng Đông (Trung Quốc). Công ty đã phát triển nhanh chóng trong hơn 5 năm qua, trở thành nhà sản xuất TV đứng thứ ba thế giới và thứ hai tại Mỹ. Các sản phẩm của hãng thường được trang bị nhiều tính năng và có mức giá dễ tiếp cận.
Tại Việt Nam, TCL phân phối khá nhiều mẫu TV, chủ yếu là các dòng sản phẩm chạy Android. Thiết bị của công ty khá đa dạng, từ TV chạy Android, TV QLED, TV 4K, TV 8K... với kích thước màn hình từ 32 inch đến 85 inch. Các mẫu giá rẻ của hãng chỉ từ 2 triệu đồng.
Bảo Lâm (theo Securityledger)