Lỗ hổng bảo mật robot hút bụi DJI Romo cho phép truy cập gần 7.000 thiết bị toàn cầu
Một kỹ sư AI vô tình phát hiện lỗ hổng nghiêm trọng trên robot hút bụi DJI Romo, cho phép kiểm soát từ xa hàng nghìn thiết bị và truy cập dữ liệu video nhạy cảm.
Một lỗ hổng bảo mật nghiêm trọng trên dòng robot hút bụi DJI Romo vừa được phát hiện, cho phép truy cập trái phép vào hơn 6.700 thiết bị trên toàn thế giới. Sự cố này gây rò rỉ các dữ liệu nhạy cảm bao gồm bản đồ nhà chi tiết, nguồn cấp dữ liệu camera và micro trực tiếp mà không cần sự cho phép của người dùng.
Phát hiện lỗ hổng từ thử nghiệm điều khiển bằng tay cầm chơi game
Kỹ sư phần mềm AI Sammy Azdoufal là người đã vô tình tìm ra lỗ hổng này trong quá trình thử nghiệm lập trình để điều khiển robot của mình bằng tay cầm PlayStation. Theo báo cáo từ The Verge, thay vì chỉ truy cập được thiết bị cá nhân, Azdoufal nhận thấy ông có thể kết nối và điều khiển khoảng 6.700 robot Romo khác đang hoạt động tại nhiều khu vực như Hoa Kỳ, Châu Âu và Trung Quốc.
Đáng chú ý, Azdoufal khẳng định ông không thực hiện bất kỳ hành vi xâm nhập trái phép, tấn công vũ phu hay bẻ khóa quy tắc hệ thống nào. Ông chỉ sử dụng mã thông báo (token) riêng từ robot của mình để truy cập trực tiếp vào máy chủ của DJI, từ đó vô tình tiếp cận được danh sách hàng nghìn thiết bị khác trên toàn cầu.
Lỗi bảo mật khiến 7.000 robot hút bụi khắp thế giới bị chiếm quyền điều khiển (Nguồn: Internet)
Mức độ rủi ro và phản hồi từ nhà sản xuất
Lỗ hổng này cho phép người lạ không chỉ điều khiển hướng di chuyển của robot mà còn có thể xem hình ảnh từ camera và nghe âm thanh từ micro theo thời gian thực. Sau khi nhận được thông tin từ Azdoufal, DJI đã nhanh chóng triển khai các bản cập nhật phần mềm để khắc phục sự cố mà không yêu cầu người dùng phải thực hiện thao tác thủ công.
Tuy nhiên, chuyên gia bảo mật này lưu ý rằng vẫn còn một số vấn đề tồn đọng cần giải quyết. Cụ thể là khả năng truyền video từ DJI Romo mà không cần mã PIN bảo mật và một lỗi nghiêm trọng khác hiện chưa được tiết lộ chi tiết. Điều này đặt ra dấu hỏi lớn về quy trình kiểm thử bảo mật đối với các thiết bị gia dụng thông minh có trang bị camera.
Cảnh báo về an ninh thiết bị IoT trong gia đình
Đây không phải lần đầu tiên robot hút bụi thông minh gặp sự cố về dữ liệu. Trước đó, dòng robot iLife A11 từng bị phát hiện liên tục gửi nhật ký và dữ liệu đo lường về máy chủ của nhà sản xuất. Thậm chí, khi người dùng ngăn chặn việc gửi dữ liệu qua mạng, thiết bị đã bị khóa từ xa bằng một mã vô hiệu hóa. Tuy nhiên, các kỹ sư đã chứng minh robot vẫn có thể hoạt động hoàn toàn cục bộ mà không cần kết nối đám mây 24/7.
Sự cố của DJI Romo là lời cảnh báo đối với người dùng về mức độ nguy hiểm của các thiết bị IoT (Internet of Things). Nếu một người dùng bình thường có thể vô tình tiếp cận dữ liệu riêng tư của hàng nghìn cá nhân, thì một cuộc tấn công có chủ đích từ các hacker chuyên nghiệp có thể gây ra thiệt hại nghiêm trọng hơn nhiều. Việc lắp đặt các thiết bị thông minh có camera và micro trong không gian riêng tư cần đi kèm với sự thấu hiểu về rủi ro bảo mật tiềm ẩn.
