Vô tình mở ra cánh cửa cho 7000 robot DJI Romo
Trong một sự kiện bất ngờ, hệ thống server của DJI đã vô tình cấp quyền truy cập từ xa cho hàng nghìn robot hút bụi DJI Romo, chỉ vì một thử nghiệm nhỏ. Lỗ hổng này đã làm dấy lên lo ngại về bảo mật thông tin cá nhân, khi dữ liệu như bản đồ không gian và âm thanh trong nhà có thể rơi vào tay kẻ xấu. Sự cố này nhắc nhở chúng ta về những rủi ro tiềm ẩn trong việc sử dụng thiết bị nhà thông minh.
DJI Romo là dòng robot hút bụi đầu tiên do hãng nổi tiếng về drone sản xuất. Với thiết kế trong suốt độc đáo, sản phẩm này nhanh chóng thu hút sự chú ý. Tuy nhiên, một báo cáo từ The Verge đã vạch trần một lỗ hổng bảo mật nghiêm trọng trong hệ thống.
Tính năng camera an ninh của DJI Romo vô tình bị hack.
Một cá nhân tên Sammy Azdoufal, với ý định ban đầu là thử nghiệm cách điều khiển robot bằng chiếc tay cầm DualSense của PlayStation 5, đã vô tình mở ra một lỗ hổng lớn. Ứng dụng tự phát triển của anh ta được thiết lập để kết nối với máy chủ DJI.
Thay vì chỉ kiểm soát robot của mình, máy chủ lại cung cấp quyền truy cập đến gần 7.000 thiết bị DJI Romo đang hoạt động trên toàn cầu. Điều này cực kỳ nguy hiểm khi lập trình viên có thể điều khiển từ xa và truy cập cả micro, loa của robot, nghe được âm thanh từ hàng nghìn ngôi nhà.
Sự yếu kém trong xác thực từ phía server
Với việc dùng địa chỉ IP, vị trí của từng robot có thể dễ dàng được xác định. Hơn nữa, các thiết bị này còn có khả năng tạo ra bản đồ không gian trong nhà, nâng cao lượng thông tin thu thập được.
Theo người phát hiện, anh không phải vượt qua bất cứ cơ chế bảo mật phức tạp nào. Vấn đề chính nằm ở việc server của DJI chấp nhận token từ một thiết bị DJI Romo duy nhất để truy cập dữ liệu của tất cả các thiết bị khác trong hệ thống. Đây rõ ràng là một sai sót lớn trong cơ chế xác thực.
Mẫu robot từng gây ấn tượng bởi thiết kế vỏ trong suốt độc đáo, tích hợp các tính năng trứ danh từ dòng drone của DJI.
Lỗ hổng đã được DJI nhanh chóng khắc phục vào ngày 11/2. Tuy vậy, sự cố này đã chỉ ra rằng các thiết bị nhà thông minh như robot hút bụi có thể là nguồn thu thập dữ liệu cá nhân khổng lồ, từ bản đồ ngôi nhà đến âm thanh môi trường. Nếu không được bảo vệ đúng cách, những dữ liệu này có thể bị lợi dụng bởi những kẻ có ý đồ xấu.
Nếu bạn muốn tránh nguy cơ bị hack camera trong robot hút bụi, nên lựa chọn những mẫu tầm trung hoặc giá rẻ không có camera RGB hay tính năng camera an ninh. Một số đề xuất có thể kể đến là Xiaomi X20 Pro (~9.5 triệu đồng), Eufy Omni C20 (~7.5 triệu đồng), Dreame L10 Prime (~7.2 triệu đồng) và Roborock Q7 TF+ (~5 triệu đồng).
4 kiểu đồ công nghệ đáng để nâng cấp nhằm cải thiện trải nghiệm cho một năm mới vui vẻ và an lành hơn.
