Hàng nghìn robot hút bụi DJI Romo bị chiếm quyền điều khiển do lỗ hổng bảo mật

3 giờ trướcBài gốc

Lỗ hổng bảo mật nghiêm trọng trên dòng robot hút bụi DJI Romo vừa được phát hiện, cho phép bên thứ ba truy cập trái phép vào hơn 6.700 thiết bị trên toàn thế giới. Sự cố này không bắt nguồn từ một cuộc tấn công mạng có chủ đích mà được tìm thấy tình cờ bởi một kỹ sư phần mềm chuyên về trí tuệ nhân tạo (AI).

Phát hiện chấn động từ thử nghiệm tay cầm chơi game

Sammy Azdoufal, một kỹ sư phần mềm AI, đã vô tình tìm ra lỗ hổng này trong quá trình thử nghiệm điều khiển robot Romo của mình bằng tay cầm PlayStation. Mục tiêu ban đầu của ông chỉ là tạo ra một ứng dụng điều khiển thiết bị cá nhân tương tự như cách sử dụng chuột hoặc bàn phím máy tính.

Tuy nhiên, thay vì chỉ truy cập được robot của chính mình, Azdoufal nhận thấy ông có thể kết nối và điều khiển khoảng 6.700 robot hút bụi khác trên phạm vi toàn cầu. Đáng chú ý, vị kỹ sư này khẳng định không thực hiện bất kỳ hành vi xâm nhập trái phép hay tấn công vũ phu nào vào hệ thống của DJI. Ông chỉ sử dụng mã thông báo (token) riêng từ thiết bị cá nhân để truy cập trực tiếp vào các máy chủ tại Hoa Kỳ, Châu Âu và Trung Quốc.

Lỗi bảo mật khiến 7.000 robot hút bụi khắp thế giới bị chiếm quyền điều khiển (Nguồn: Internet)

Rủi ro rò rỉ dữ liệu nhạy cảm từ camera và micro

Theo báo cáo từ The Verge, lỗ hổng này cho phép người truy cập trích xuất bản đồ chi tiết của các căn hộ, đồng thời theo dõi trực tiếp nguồn cấp dữ liệu từ camera và micro của thiết bị. Khả năng điều khiển từ xa các robot bị ảnh hưởng biến chúng thành những thiết bị giám sát di động trong không gian riêng tư của người dùng.

Ngay sau khi phát hiện sự việc, Azdoufal đã liên hệ với DJI để thông báo về sai sót kỹ thuật. Phía nhà sản xuất đã nhanh chóng phản hồi bằng cách phát hành các bản cập nhật hệ thống để vá lỗi. Các bản cập nhật này được triển khai tự động, không yêu cầu người dùng phải thực hiện thao tác thủ công. Tuy nhiên, chuyên gia AI này cảnh báo rằng vẫn còn một số vấn đề tồn đọng chưa được giải quyết triệt để, bao gồm việc truyền phát video từ robot mà không cần mã PIN bảo mật.

Cảnh báo về an ninh thiết bị IoT trong gia đình

Sự cố của DJI Romo một lần nữa dấy lên lo ngại về tính an toàn của các thiết bị Internet vạn vật (IoT). Trước đó vào năm ngoái, dòng robot hút bụi iLife A11 cũng từng bị phát hiện liên tục gửi dữ liệu đo lường về nhà sản xuất mà người dùng không hề hay biết. Khi một kỹ sư tìm cách chặn luồng dữ liệu này, nhà sản xuất đã gửi mã khóa thiết bị từ xa, buộc người dùng phải can thiệp kỹ thuật để duy trì hoạt động cục bộ.

Việc một cá nhân có thể vô tình tiếp cận dữ liệu riêng tư của hàng nghìn người thông qua các tiện ích thông minh cho thấy lỗ hổng lớn trong quy trình bảo mật của các nhà sản xuất. Các chuyên gia bảo mật nhận định, nếu người dùng bình thường có thể tình cờ truy cập được hệ thống, thì một cuộc tấn công có chủ đích từ tin tặc có thể gây ra những thiệt hại lớn hơn nhiều về quyền riêng tư và an ninh mạng.

Sự việc là lời nhắc nhở đối với người tiêu dùng về việc cân nhắc mức độ tiện lợi so với rủi ro bảo mật khi lắp đặt các thiết bị thông minh trong nhà. Các nhà nghiên cứu khuyến cáo người dùng nên thường xuyên cập nhật firmware và kiểm tra các quyền truy cập dữ liệu của ứng dụng đi kèm thiết bị.

Tuệ Nhân

Nguồn Lâm Đồng : https://baolamdong.vn/hang-nghin-robot-hut-bui-dji-romo-bi-chiem-quyen-dieu-khien-do-lo-hong-bao-mat-426781.html