Vô tình hack 7000 robot hút bụi, người đàn ông nhận được 30.000 USD

3 giờ trướcBài gốc

DJI tuyên bố sẽ trả 30.000 USD cho một người đàn ông đã phát hiện ra lỗ hổng nghiêm trọng trong hệ thống đám mây của công ty, cho phép anh ta truy cập vào khoảng 7.000 robot hút bụi và thậm chí có thể quan sát bên trong nhà của người khác.

Được biết, công ty đã gửi email thông báo phần thưởng này cho Sammy Azdoufal, một kỹ sư phần mềm muốn điều khiển robot hút bụi DJI Romo bằng tay cầm PS5, nhưng không giải thích rõ lý do cụ thể đằng sau quyết định này.

Khám phá lỗ hổng nghiêm trọng chỉ vì muốn điều khiển robot hút bụi bằng tay cầm PS5.

DJI khẳng định họ đã bắt đầu khắc phục một số điểm yếu trong hệ thống backend trước khi Azdoufal chứng minh mức độ truy cập mà anh phát hiện, tuy nhiên vẫn còn nhiều câu hỏi về phần thưởng cũng như quá trình vá lỗi.

Theo email mà Azdoufal chia sẻ với The Verge, DJI đồng ý trả cho anh 30.000 USD cho một trong những phát hiện của mình, dù công ty không làm rõ phát hiện nào đủ điều kiện nhận thưởng. DJI xác nhận đã bồi thường cho một nhà nghiên cứu giấu tên, theo The Verge. Tuy nhiên, tranh chấp trước đây của công ty với nhà nghiên cứu Kevin Finisterre vào năm 2017 khiến việc Azdoufal có thực sự nhận được phần thưởng hay không và tốc độ vá các lỗ hổng backend của DJI vẫn còn là dấu hỏi.

Mọi chuyện bắt đầu từ đầu năm nay, khi Sammy Azdoufal muốn điều khiển robot hút bụi của mình bằng một thiết bị tiện lợi hơn màn hình điện thoại. Để điều khiển DJI Romo bằng tay cầm PS5, Azdoufal phải phát triển một ứng dụng điều khiển riêng, sử dụng mã xác thực bảo mật để xác minh quyền sở hữu thiết bị.

Sammy Azdoufal chia sẻ phát hiện của mình trên truyền hình.

Để lấy được mã này, anh buộc phải làm việc với máy chủ đám mây của DJI nhằm đảo ngược quy trình xác thực, điều mà anh đã thành công nhờ sự hỗ trợ của công cụ lập trình AI. Tuy nhiên, thay vì chỉ xác thực một robot, hệ thống backend của DJI lại cấp quyền truy cập rộng rãi tới khoảng 7.000 robot hút bụi tại 24 quốc gia, cùng với dữ liệu cảm biến và thông tin lưu trữ trên đám mây.

DJI Romo là mẫu robot hút bụi tiên tiến, không chỉ được trang bị các cảm biến thông thường mà còn có cả camera và micro. Do lỗ hổng xác thực, Azdoufal đã truy cập được vào 7.000 luồng camera trực tiếp kèm âm thanh và thậm chí có thể dựng lại sơ đồ mặt bằng 2D của các ngôi nhà sử dụng DJI Romo.

Hệ thống backend của DJI còn cung cấp cho chuyên gia phần mềm này địa chỉ IP của các ngôi nhà, giúp anh có thể suy đoán vị trí địa lý của chúng.

Robot hút bụi DJI Romo có cả camera và micro khi bị kiểm soát có thể theo dõi mọi thứ.

Azdoufal khẳng định anh không "hack" bất cứ thứ gì mà chỉ đơn giản phát hiện ra một dịch vụ backend bị lỗi, không giới hạn quyền truy cập thiết bị một cách hợp lý. Đáng ghi nhận, Sammy Azdoufal đã lựa chọn công khai thông tin thay vì lợi dụng nó.

DJI hiện cũng ghi nhận hai nhà nghiên cứu độc lập đã phát hiện ra vấn đề tương tự, nhưng không nêu chi tiết.

Bản vá đầu tiên đã được triển khai tự động vào ngày 8/2, tiếp theo là bản cập nhật thứ hai vào ngày 10/2. Hãng cũng cho biết người dùng không cần thực hiện bất kỳ thao tác nào và bổ sung rằng các biện pháp tăng cường bảo mật bổ sung đang được tiến hành, nhưng không tiết lộ chi tiết.