Lỗ hổng bảo mật nghiêm trọng: 7.000 robot hút bụi DJI Romo bị hack camera và micro
Một lập trình viên chỉ muốn điều khiển robot hút bụi cá nhân bằng tay cầm PlayStation 5 (PS5) nhưng lại vô tình phát hiện ra lỗ hổng bảo mật nghiêm trọng, cho phép truy cập vào camera, micro và dữ liệu của gần 7.000 thiết bị DJI Romo đang hoạt động trên toàn cầu. Sự cố này làm dấy lên lo ngại về an ninh mạng trong các thiết bị nhà thông minh.
Vô tình "hack" toàn bộ hệ thống robot hút bụi
DJI Romo là mẫu robot hút bụi đầu tiên của hãng sản xuất drone nổi tiếng DJI, gây chú ý với thiết kế vỏ trong suốt độc đáo và tích hợp các tính năng tiên tiến. Tuy nhiên, theo báo cáo từ The Verge, sản phẩm này vừa bộc lộ một lỗ hổng bảo mật nghiêm trọng liên quan đến tính năng camera an ninh.
Người dùng tên Sammy Azdoufal ban đầu chỉ muốn thử nghiệm việc điều khiển robot của mình bằng tay cầm DualSense của PS5. Anh đã tự phát triển một ứng dụng điều khiển để kết nối robot thông qua máy chủ của DJI. Thay vì chỉ kiểm soát thiết bị cá nhân, hệ thống máy chủ đã cấp quyền truy cập đến gần 7.000 robot DJI Romo đang hoạt động trên toàn cầu tại thời điểm đó.
Điều đáng lo ngại là lập trình viên không chỉ có thể điều khiển robot từ xa mà còn truy cập được micro và loa tích hợp trên thiết bị. Điều này đồng nghĩa với khả năng nghe âm thanh trực tiếp trong hàng nghìn gia đình, làm lộ thông tin cá nhân nhạy cảm.
Lỗ hổng xác thực từ phía máy chủ của DJI
Theo chia sẻ từ người phát hiện, anh không cần vượt qua bất kỳ cơ chế bảo mật hay phá vỡ quy tắc nào để đạt được quyền truy cập này. Vấn đề nằm ở chỗ máy chủ của DJI chấp nhận token xác thực từ một thiết bị DJI Romo duy nhất để truy cập dữ liệu của tất cả thiết bị khác cùng hệ thống. Đây là lỗi nghiêm trọng trong cơ chế xác thực phía server.
Thông qua địa chỉ IP, vị trí tương đối của từng robot có thể được xác định. Ngoài ra, các robot còn có khả năng tạo bản đồ không gian phòng, nên mức độ dữ liệu thu thập được là rất đáng kể, bao gồm cả bản đồ căn hộ và âm thanh môi trường.
DJI đã khắc phục và cảnh báo rủi ro an ninh mạng
DJI đã khắc phục lỗ hổng vào ngày 11/2. Dù vậy, sự cố này cho thấy các thiết bị nhà thông minh như robot hút bụi có thể thu thập lượng lớn dữ liệu cá nhân. Nếu bị khai thác bởi tác nhân xấu, mức độ rủi ro có thể rất lớn, ảnh hưởng đến quyền riêng tư và an ninh của người dùng.
Để tránh tình trạng bị hack camera trên robot hút bụi, người dùng có thể lựa chọn các mẫu tầm trung và giá rẻ không tích hợp camera RGB hoặc không hỗ trợ tính năng camera an ninh. Một số dòng nổi bật có thể kể đến như:
- Xiaomi X20 Pro (khoảng 9,5 triệu đồng)
- Eufy Omni C20 (khoảng 7,5 triệu đồng)
- Dreame L10 Prime (khoảng 7,2 triệu đồng)
- Roborock Q7 TF+ (khoảng 5 triệu đồng)
Sự việc này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật kỹ lưỡng trong các thiết bị IoT, đặc biệt khi chúng ngày càng phổ biến trong các hộ gia đình.
