7000 robot hút bụi DJI bị hack camera chỉ vì ai đó muốn điều khiển từ xa bằng tay cầm PS5
Một lập trình viên chỉ muốn điều khiển robot hút bụi của anh bằng tay cầm PS5 nhưng lại phát hiện lỗ hổng cho phép truy cập camera, micro và dữ liệu của hàng nghìn thiết bị DJI Romo.
Vô tình “hack” toàn bộ DJI Romo đang hoạt động
DJI Romo là mẫu robot hút bụi đầu tiên của hãng sản xuất drone này. Thiết bị gây chú ý với thiết kế trong suốt khác biệt so với nhiều đối thủ trên thị trường. Tuy nhiên, theo báo cáo được dẫn lại từ The Verge, sản phẩm này vừa bộc lộ một lỗ hổng bảo mật nghiêm trọng.
Tính năng camera an ninh của DJI Romo vô tình bị hack.
Một người dùng tên Sammy Azdoufal ban đầu chỉ muốn thử điều khiển robot của mình bằng tay cầm DualSense của PlayStation 5 cho mục đích thử nghiệm. Ứng dụng điều khiển tự phát triển được thiết kế để kết nối robot thông qua máy chủ của DJI.
Tuy nhiên, thay vì chỉ kiểm soát thiết bị cá nhân, hệ thống máy chủ đã cấp quyền truy cập đến gần 7.000 robot DJI Romo đang hoạt động trên toàn cầu tại thời điểm đó. Điều đáng lo ngại là lập trình viên không chỉ có thể điều khiển robot từ xa mà còn truy cập micro và loa tích hợp trên thiết bị, đồng nghĩa với khả năng nghe âm thanh trực tiếp trong hàng nghìn gia đình.
Lỗ hổng xác thực từ phía máy chủ
Thông qua địa chỉ IP, vị trí tương đối của từng robot có thể được xác định. Ngoài ra, các robot còn có khả năng tạo bản đồ không gian phòng, nên mức độ dữ liệu thu thập được là rất đáng kể.
Theo chia sẻ từ người phát hiện, anh không cần vượt qua bất kỳ cơ chế bảo mật hay phá vỡ quy tắc nào để đạt được quyền truy cập này. Vấn đề nằm ở chỗ máy chủ của DJI chấp nhận token xác thực từ một thiết bị DJI Romo duy nhất để truy cập dữ liệu của tất cả thiết bị khác cùng hệ thống. Đây là lỗi nghiêm trọng trong cơ chế xác thực phía server.
Mẫu robot từng gây ấn tượng bởi thiết kế vỏ trong suốt độc đáo, tích hợp các tính năng trứ danh từ dòng drone của DJI.
DJI đã khắc phục lỗ hổng vào ngày 11/2. Dù vậy, sự cố cho thấy các thiết bị nhà thông minh như robot hút bụi có thể thu thập lượng lớn dữ liệu cá nhân, từ bản đồ căn hộ đến âm thanh môi trường. Nếu bị khai thác bởi tác nhân xấu, mức độ rủi ro có thể rất lớn.
Nếu loại bỏ hoàn toàn tình trạng bị hack camera trên robot hút bụi, bạn chỉ cần mua các mẫu tầm trung và giá rẻ không tích hợp camera RGB, không hỗ trợ tính năng camera an ninh. 1 số dòng nổi bật có thể kể tới là Xiaomi X20 Pro (~9.5 triệu đồng), Eufy Omni C20 (~7.5 triệu đồng), Dreame L10 Prime (~7.2 triệu đồng) hay Roborock Q7 TF+ (~5 triệu đồng).
NỔI BẬT TRANG CHỦ
-
Cú sốc đêm giao thừa: Robot Trung Quốc múa côn nhị khúc như Lý Tiểu Long, vấp ngã tự đứng dậy khiến thế giới sững sờ
Vào tối thứ hai vừa qua, nhiều người đã phải dụi mắt khi xem mà trình diễn đón năm mới của Trung Quốc. Không phải vì kỹ xảo điện ảnh, mà vì những gì đang diễn ra trên sân khấu là thật: Những con robot đang múa côn nhị khúc và Túy Quyền như những đại sư thực thụ.
-
Mới sáng mùng 1 Tết, Facebook bất ngờ thông báo khai tử Messenger.com
