Theo thông tin rò rỉ từ các nhà nghiên cứu bảo mật vừa được công bố trên GitHub, dòng camera giám sát TP-Link Kasa EC71 đã liên tục phát tán dữ liệu định vị GPS chính xác của hộ gia đình thông qua các gói tin UDP không được mã hóa và không yêu cầu xác thực trong suốt 6 năm qua. Lỗi bảo mật nghiêm trọng này đặt ra dấu hỏi lớn về quy trình kiểm thử và kiểm soát an toàn thông tin của các nhà sản xuất thiết bị thông minh.
Diễn biến chi tiết
Nghiên cứu bảo mật công bố vào ngày 17/07/2026 chỉ ra rằng thiết bị camera Kasa EC71 của TP-Link tự động gửi đi các gói tin UDP quảng bá chứa tọa độ GPS của thiết bị trong mạng nội bộ. Đáng chú ý, cơ chế này hoạt động liên tục kể từ khi sản phẩm ra mắt mà không hề có bất kỳ rào cản bảo mật nào. Bất kỳ ai truy cập vào cùng mạng Wi-Fi, hoặc thông qua các kỹ thuật tấn công trung gian, đều có thể dễ dàng đánh chặn các gói tin này để xác định vị trí thực tế của ngôi nhà.
Phân tích kỹ thuật & Công nghệ
Về mặt kỹ thuật, lỗ hổng xuất phát từ việc triển khai giao thức UDP phục vụ tính năng khám phá thiết bị (device discovery). Thay vì chỉ gửi các thông tin định danh cơ bản hoặc sử dụng cơ chế bắt tay mã hóa, firmware của camera lại đính kèm trực tiếp kinh độ và vĩ độ GPS dưới dạng văn bản thuần (plain text). Việc thiếu vắng cơ chế xác thực (unauthenticated) đồng nghĩa với việc kẻ tấn công chỉ cần lắng nghe các cổng dịch vụ mặc định là có thể thu thập toàn bộ dữ liệu vị trí nhạy cảm này mà không cần bẻ khóa mật khẩu thiết bị.
Ý kiến chuyên gia & Nhận định
Các chuyên gia an ninh mạng nhận định đây là một lỗi thiết kế sơ đẳng nhưng để lại hậu quả nghiêm trọng về quyền riêng tư. Việc để lộ tọa độ GPS chính xác đến từng mét của một camera an ninh gia đình có thể bị kẻ xấu lợi dụng cho các hành vi theo dõi hoặc đột nhập vật lý. Cộng đồng bảo mật trên Hacker News cũng bày tỏ sự thất vọng trước việc một thương hiệu lớn như TP-Link lại để lỗ hổng này tồn tại trong suốt thời gian dài đến 6 năm mà không hề hay biết hoặc vá lỗi.
Tác động & Tương lai
Sự cố này một lần nữa gióng lên hồi chuông cảnh báo về tính an toàn của các thiết bị Internet vạn vật (IoT) đang hiện diện ngày càng nhiều trong các gia đình Việt Nam. Đối với người dùng đang sở hữu dòng camera Kasa EC71, khuyến nghị ngay lập tức là kiểm tra và cập nhật firmware mới nhất nếu có, hoặc thiết lập mạng LAN ảo (VLAN) riêng biệt cho các thiết bị thông minh để cô lập lưu lượng mạng, tránh nguy cơ bị rò rỉ thông tin vị trí nhạy cảm.