7000 robot hút bụi DJI bị hack camera chỉ vì ai đó muốn điều khiển từ xa bằng tay cầm PS5

Vô tình “hack” toàn bộ DJI Romo đang hoạt động

DJI Romo là mẫu robot hút bụi đầu tiên của hãng sản xuất drone này. Thiết bị gây chú ý với thiết kế trong suốt khác biệt so với nhiều đối thủ trên thị trường. Tuy nhiên, theo báo cáo được dẫn lại từ The Verge, sản phẩm này vừa bộc lộ một lỗ hổng bảo mật nghiêm trọng.

Một người dùng tên Sammy Azdoufal ban đầu chỉ muốn thử điều khiển robot của mình bằng tay cầm DualSense của PlayStation 5 cho mục đích thử nghiệm. Ứng dụng điều khiển tự phát triển được thiết kế để kết nối robot thông qua máy chủ của DJI.

Tuy nhiên, thay vì chỉ kiểm soát thiết bị cá nhân, hệ thống máy chủ đã cấp quyền truy cập đến gần 7.000 robot DJI Romo đang hoạt động trên toàn cầu tại thời điểm đó. Điều đáng lo ngại là lập trình viên không chỉ có thể điều khiển robot từ xa mà còn truy cập micro và loa tích hợp trên thiết bị, đồng nghĩa với khả năng nghe âm thanh trực tiếp trong hàng nghìn gia đình.

Lỗ hổng xác thực từ phía máy chủ

Thông qua địa chỉ IP, vị trí tương đối của từng robot có thể được xác định. Ngoài ra, các robot còn có khả năng tạo bản đồ không gian phòng, nên mức độ dữ liệu thu thập được là rất đáng kể.

Theo chia sẻ từ người phát hiện, anh không cần vượt qua bất kỳ cơ chế bảo mật hay phá vỡ quy tắc nào để đạt được quyền truy cập này. Vấn đề nằm ở chỗ máy chủ của DJI chấp nhận token xác thực từ một thiết bị DJI Romo duy nhất để truy cập dữ liệu của tất cả thiết bị khác cùng hệ thống. Đây là lỗi nghiêm trọng trong cơ chế xác thực phía server.

DJI đã khắc phục lỗ hổng vào ngày 11/2. Dù vậy, sự cố cho thấy các thiết bị nhà thông minh như robot hút bụi có thể thu thập lượng lớn dữ liệu cá nhân, từ bản đồ căn hộ đến âm thanh môi trường. Nếu bị khai thác bởi tác nhân xấu, mức độ rủi ro có thể rất lớn.

Nếu loại bỏ hoàn toàn tình trạng bị hack camera trên robot hút bụi, bạn chỉ cần mua các mẫu tầm trung và giá rẻ không tích hợp camera RGB, không hỗ trợ tính năng camera an ninh. 1 số dòng nổi bật có thể kể tới là Xiaomi X20 Pro (~9.5 triệu đồng), Eufy Omni C20 (~7.5 triệu đồng), Dreame L10 Prime (~7.2 triệu đồng) hay Roborock Q7 TF+ (~5 triệu đồng).

Phạm Hoàng