Kết nối tay cầm PlayStation với robot hút bụi và cái kết ớn lạnh
Một lần 'vọc vạch' tưởng chừng vô hại nhằm kết nối tay cầm chơi game PlayStation với robot hút bụi đã bất ngờ trở thành cơn ác mộng an ninh mạng.
Khi kết nối tay cầm game với robot hút bụi, một thế giới mới được mở ra
Sammy Adoufal, một chuyên gia chiến lược AI, trong lúc mày mò mã nguồn đã vô tình nắm được quyền truy cập vào hơn 6.700 robot hút bụi DJI Romo trên toàn cầu. Sự cố này không chỉ cho phép người lạ xem sơ đồ nhà, truy cập camera và microphone trực tiếp mà còn chiếm quyền điều khiển thiết bị từ xa. Vụ việc một lần nữa gióng lên hồi chuông cảnh báo chói tai về sự lỏng lẻo trong bảo mật của các thiết bị nhà thông minh (IoT), khi sự tiện nghi đang được đánh đổi bằng chính sự riêng tư trần trụi của người dùng.
Từ ý tưởng giải trí đến việc nắm giữ "chìa khóa vạn năng"
Câu chuyện bắt đầu với một mục đích hoàn toàn trong sáng và mang tính giải trí cá nhân. Sammy Adoufal chỉ đơn thuần muốn tìm cách điều khiển chiếc robot hút bụi DJI Romo của mình bằng tay cầm PlayStation, một thử thách thú vị thường thấy trong cộng đồng những người yêu công nghệ. Để làm được điều này, anh đã sử dụng Claude Code, một công cụ hỗ trợ lập trình bằng trí tuệ nhân tạo, nhằm đảo ngược kỹ thuật (reverse engineer) giao thức giao tiếp giữa thiết bị và máy chủ của nhà sản xuất. Mục tiêu duy nhất là lấy được mã token riêng tư để ra lệnh cho chính thiết bị của mình.
Tuy nhiên, kết quả trả về đã khiến Adoufal lạnh sống lưng. Thay vì chỉ nhận được quyền truy cập vào thiết bị cá nhân, hệ thống máy chủ của DJI dường như đã trao cho anh chiếc "chìa khóa vạn năng" để bước vào hàng nghìn ngôi nhà khác. Cụ thể, anh có thể tiếp cận dữ liệu của khoảng 6.700 robot hút bụi đang hoạt động rải rác khắp thế giới, từ Mỹ, châu Âu cho đến Trung Quốc.
Quyền truy cập này không chỉ dừng lại ở các thông số kỹ thuật khô khan. Nó bao gồm những dữ liệu nhạy cảm nhất: bản đồ chi tiết từng ngóc ngách trong ngôi nhà của người dùng, luồng hình ảnh trực tiếp từ camera gắn trên robot và thậm chí cả âm thanh thu được từ microphone.
Adoufal khẳng định với trang tin The Verge rằng anh hoàn toàn không thực hiện bất kỳ hành vi tấn công mạng nào theo cách hiểu truyền thống. Không có mã độc, không có tấn công brute-force (dò mật khẩu), và cũng không có sự xâm nhập trái phép nào vào hệ thống tường lửa. "Tôi không vi phạm bất kỳ quy tắc nào, không đi đường vòng hay bẻ khóa gì cả," anh chia sẻ. Tất cả những gì anh làm là gửi một yêu cầu hợp lệ lên máy chủ, và hệ thống đã phản hồi bằng cách phơi bày toàn bộ dữ liệu. Điều này chỉ ra một sự cẩu thả đáng kinh ngạc trong khâu thiết kế bảo mật của nhà sản xuất.
Vấn đề cốt lõi, theo phân tích của Adoufal, không nằm ở phương thức mã hóa đường truyền, mà nằm ở cách dữ liệu được lưu trữ. Toàn bộ thông tin nhạy cảm trên máy chủ được lưu dưới dạng văn bản thuần túy (plain text), không hề được mã hóa. Điều này đồng nghĩa với việc bất kỳ ai, dù chỉ vô tình hay cố ý có được quyền truy cập vào máy chủ, đều có thể đọc hiểu toàn bộ thông tin người dùng như đang đọc một cuốn sách mở. Mặc dù DJI đã nhanh chóng tung ra các bản vá lỗi sau khi nhận được thông báo từ Adoufal và người dùng không cần thao tác gì thêm, nhưng vị chuyên gia này cảnh báo rằng vẫn còn những "cửa hậu" chưa được khép lại. Đáng lo ngại nhất là khả năng xem video trực tiếp từ robot mà không cần mã PIN bảo mật, cùng một lỗ hổng nghiêm trọng khác mà anh từ chối tiết lộ chi tiết vì lý do an toàn.
Bóng ma giám sát trong chính ngôi nhà thông minh
Sự cố của DJI Romo không phải là một tai nạn cá biệt, mà nó là mảnh ghép mới nhất trong bức tranh xám xịt về an ninh của các thiết bị IoT. Mới năm ngoái, một kỹ sư phần mềm đã phát hiện ra chiếc robot hút bụi thông minh iLife A11 của mình liên tục gửi các bản ghi dữ liệu (log) và thông tin đo lường từ xa (telemetry) về máy chủ của nhà sản xuất một cách bất thường. Khi anh quyết định chặn thiết bị gửi dữ liệu ra ngoài thông qua mạng nội bộ để bảo vệ quyền riêng tư, nhà sản xuất đã có một động thái gây sốc: gửi một mã lệnh "tiêu diệt" (kill code) từ xa, biến chiếc máy hút bụi đắt tiền thành cục gạch vô dụng.
Vụ việc của iLife A11 và nay là DJI Romo đã đặt ra một câu hỏi lớn về quyền sở hữu thực sự. Người dùng bỏ tiền ra mua thiết bị, nhưng dường như nhà sản xuất vẫn nắm giữ quyền kiểm soát tối thượng, bao gồm cả quyền thu thập dữ liệu và quyền vô hiệu hóa sản phẩm nếu người dùng không "ngoan ngoãn" tuân theo luật chơi của họ. Tuy nhiên, trường hợp của kỹ sư dùng iLife cũng chứng minh một điều quan trọng: sau khi mầy mò và chỉnh sửa, anh đã hồi sinh được chiếc robot và vận hành nó hoàn toàn trên mạng nội bộ (local), chứng tỏ rằng việc kết nối đám mây 24/7 thực chất không cần thiết cho các chức năng cốt lõi của máy hút bụi.
Xu hướng mua sắm và lắp đặt các thiết bị thông minh đang bùng nổ vì sự tiện lợi mà chúng mang lại. Nhưng cái giá phải trả cho sự tiện nghi đó đang ngày càng trở nên đắt đỏ hơn bao giờ hết. Những sự cố như thế này là minh chứng rõ ràng cho thấy ranh giới giữa một thiết bị gia dụng hữu ích và một thiết bị gián điệp là vô cùng mong manh. Nếu một người dùng bình thường với chút kiến thức về code và sự hỗ trợ của AI như Adoufal có thể vô tình "đi lạc" vào dữ liệu riêng tư của hàng nghìn người, thì hãy tưởng tượng những nhóm tội phạm mạng chuyên nghiệp có thể làm được gì nếu chúng chủ đích tấn công.
Các chuyên gia bảo mật cảnh báo rằng, nguy cơ không chỉ dừng lại ở việc lộ sơ đồ nhà hay hình ảnh riêng tư. Với khả năng điều khiển từ xa và thu âm, những thiết bị này hoàn toàn có thể trở thành công cụ để kẻ xấu lên kế hoạch đột nhập, theo dõi thói quen sinh hoạt hoặc thậm chí tống tiền người dùng. Sự việc lần này là một lời nhắc nhở nghiêm khắc rằng trong kỷ nguyên kết nối vạn vật, người tiêu dùng cần phải có cái nhìn khắt khe hơn đối với các sản phẩm mình mang về nhà, và các nhà sản xuất cần phải chịu trách nhiệm lớn hơn thay vì coi dữ liệu khách hàng là tài sản miễn phí để khai thác hay lưu trữ một cách cẩu thả.
