Sự cố hy hữu: Lập trình viên vô tình chiếm quyền điều khiển gần 7.000 robot hút bụi DJI Romo
Một lỗ hổng bảo mật trên robot hút bụi DJI Romo vừa được phát hiện, cho phép truy cập trái phép dữ liệu của hơn 6.700 thiết bị. Sự cố lộ diện khi một kỹ sư cố gắng điều khiển robot bằng tay cầm PlayStation.
Một lỗ hổng bảo mật nghiêm trọng trên dòng robot hút bụi DJI Romo vừa được phát hiện, cho phép truy cập trái phép vào hơn 6.700 thiết bị trên toàn cầu. Đáng chú ý, lỗ hổng này không được tìm thấy bởi tin tặc mà bởi một kỹ sư phần mềm trong nỗ lực tùy chỉnh thiết bị cá nhân của mình.
Phát hiện lỗ hổng từ nỗ lực điều khiển bằng tay cầm chơi game
Sự việc bắt đầu khi Sammy Azdoufal, một kỹ sư phần mềm chuyên về AI, cố gắng lập trình để điều khiển robot hút bụi DJI Romo của mình bằng tay cầm PlayStation. Tuy nhiên, thay vì chỉ kết nối với thiết bị tại nhà, hệ thống đã cho phép ông truy cập vào hàng nghìn robot khác đang hoạt động trực tuyến thông qua mã thông báo (token) riêng của thiết bị.
Theo báo cáo từ The Verge, lỗi bảo mật này cho phép người dùng trái phép truy xuất bản đồ nhà chi tiết, theo dõi nguồn cấp dữ liệu camera và micro trực tiếp, đồng thời điều khiển từ xa các thiết bị bị ảnh hưởng. Azdoufal khẳng định ông không thực hiện bất kỳ hành vi xâm nhập, tấn công vũ phu hay vi phạm quy tắc hệ thống nào của DJI để có được quyền truy cập này.
Quy mô ảnh hưởng và phản ứng từ nhà sản xuất
Thông qua các máy chủ trực tiếp, kỹ sư này đã vô tình có quyền kiểm soát khoảng 6.700 robot tại nhiều khu vực như Hoa Kỳ, Châu Âu và Trung Quốc. Sammy Azdoufal cho biết ông không lợi dụng lỗ hổng để xâm phạm quyền riêng tư của người khác mà đã chủ động liên hệ với DJI để thông báo về sự cố.
Ngay sau khi nhận được thông tin, DJI đã tiến hành khắc phục vấn đề thông qua các bản cập nhật phần mềm không yêu cầu người dùng phải thao tác thủ công. Tuy nhiên, chuyên gia AI này lưu ý rằng vẫn còn một số vấn đề bảo mật tồn đọng cần được giải quyết triệt để, bao gồm khả năng truyền video mà không cần mã PIN bảo mật và một lỗi nghiêm trọng khác chưa được tiết lộ.
Cảnh báo về an ninh thiết bị Internet vạn vật (IoT)
Đây không phải là lần đầu tiên các thiết bị gia dụng thông minh gặp rắc rối với việc quản lý dữ liệu người dùng. Trước đó, dòng robot iLife A11 từng bị phát hiện liên tục gửi nhật ký và dữ liệu đo lường về nhà sản xuất. Khi người dùng nỗ lực ngăn chặn việc gửi dữ liệu qua mạng, thiết bị đã bị khóa từ xa, buộc người dùng phải tìm cách khôi phục để sử dụng cục bộ mà không cần kết nối đám mây.
Những sự cố này là lời cảnh báo về mức độ rủi ro khi sử dụng các thiết bị thông minh tích hợp camera và micro trong không gian riêng tư. Việc một người dùng bình thường có thể vô tình tiếp cận dữ liệu của hàng nghìn cá nhân cho thấy các cuộc tấn công có chủ đích có thể gây ra hậu quả lớn hơn nhiều so với dự kiến. Người dùng được khuyến cáo nên thường xuyên cập nhật phần mềm cho các thiết bị IoT và kiểm tra các quyền truy cập dữ liệu của thiết bị.
