Kỹ sư phần mềm vô tình hack 7.000 robot hút bụi toàn cầu bằng tay cầm game
Câu chuyện của Sammy Azdoufal, một kỹ sư phần mềm trẻ tuổi, đang gây xôn xao trong cộng đồng công nghệ toàn cầu. Thay vì chỉ dọn dẹp nhà cửa, chiếc robot hút bụi DJI Romo mới mua của anh đã mở ra một "cánh cửa" cho phép anh nhìn thấu nhà của hàng nghìn người lạ trên khắp thế giới.
Ý tưởng điều khiển robot bằng tay cầm game dẫn đến phát hiện chấn động
Mọi chuyện bắt đầu khi Azdoufal mua chiếc robot hút bụi DJI Romo - một sản phẩm mới của gã khổng lồ drone DJI. Vốn là một người đam mê công nghệ, anh không hài lòng với việc điều khiển robot qua ứng dụng điện thoại thông thường. Azdoufal muốn kết nối nó với tay cầm của PlayStation 5 (PS5) để trải nghiệm cảm giác "lái" máy hút bụi như đang chơi game.
Để thực hiện ý tưởng này, anh đã sử dụng công cụ hỗ trợ lập trình AI (Claude Code) để phân tích cách thức robot giao tiếp với máy chủ của nhà sản xuất. Tuy nhiên, trong quá trình can thiệp vào hệ thống, Azdoufal sững sờ phát hiện ra mình không chỉ kết nối được với thiết bị của bản thân.
"Tôi nhận ra mình không chỉ điều khiển được robot của mình. Tôi đang nhìn thấy danh sách của hơn 7.000 robot khác đang hoạt động", Azdoufal chia sẻ với tờ The Verge.
Lỗ hổng bảo mật nghiêm trọng trong giao thức MQTT
Qua phân tích, Azdoufal phát hiện một lỗi nghiêm trọng trong giao thức MQTT - phương thức mà các thiết bị thông minh dùng để "nói chuyện" với máy chủ. Lỗi này cho phép bất kỳ ai có kiến thức kỹ thuật cơ bản có thể truy cập vào toàn bộ mạng lưới thiết bị của DJI mà không cần mật khẩu hay quyền hạn đặc biệt.
Hệ quả là Azdoufal có thể truy cập vào camera, micro và bản đồ nhà của hơn 7.000 hộ gia đình tại 24 quốc gia khác nhau. Anh có thể biết được bố cục căn nhà, vị trí đồ đạc, thậm chí là nghe thấy những cuộc hội thoại riêng tư của chủ nhà. Anh cũng nhấn mạnh rằng, thông qua địa chỉ IP, vị trí tương đối của những ngôi nhà này cũng bị lộ diện.
Phản ứng nhanh chóng từ DJI và cảnh báo an ninh
Ngay sau khi phát hiện sự việc, Azdoufal đã liên hệ với DJI và các cơ quan báo chí để cảnh báo. Phía DJI sau đó đã thừa nhận lỗ hổng và nhanh chóng tung ra bản vá bảo mật vào tháng 2 để ngăn chặn nguy cơ này tái diễn.
Đây không phải lần đầu tiên các thiết bị robot hút bụi trở thành "gián điệp" bất đắc dĩ. Sự cố của DJI Romo là minh chứng rõ nét cho thấy mặt trái của nhà thông minh. Các thiết bị chúng ta mang vào phòng ngủ, phòng khách với mục đích tiện nghi lại có thể trở thành công cụ để kẻ xấu theo dõi từ xa.
Khuyến cáo từ các chuyên gia công nghệ
Các chuyên gia công nghệ khuyến cáo người dùng nên đặc biệt thận trọng khi sử dụng các thiết bị có tích hợp camera và micro kết nối Internet. Để tự bảo vệ mình, người dùng nên:
- Sử dụng sản phẩm của các thương hiệu uy tín có cam kết bảo mật rõ ràng.
- Luôn luôn cập nhật phần mềm mới nhất từ nhà sản xuất.
- Kiểm tra kỹ các thiết lập bảo mật trên thiết bị thông minh.
- Hạn chế sử dụng các tính năng không cần thiết như camera và micro khi không dùng đến.
Sự việc này một lần nữa nhấn mạnh tầm quan trọng của an ninh mạng trong kỷ nguyên số, đặc biệt là với các thiết bị IoT ngày càng phổ biến trong gia đình.
