Lỗ hổng bảo mật nghiêm trọng: Lập trình viên vô tình tạo 'đội quân robot' toàn cầu
Sammy Azdoufal, một lập trình viên đến từ Tây Ban Nha, ban đầu chỉ muốn điều khiển robot hút bụi cá nhân của mình bằng tay cầm PS5 để giải trí. Tuy nhiên, trong quá trình thử nghiệm, anh đã vô tình kết nối và kiểm soát được hơn 7.000 thiết bị DJI Romo đang hoạt động trên khắp thế giới. Sự cố này đã làm lộ ra một lỗ hổng bảo mật đáng báo động trong hệ thống của công ty công nghệ nổi tiếng.
Quá trình khám phá và kiểm soát từ xa
Azdoufal sử dụng trợ lý lập trình Claude Code AI để giải mã ứng dụng di động của DJI, với mục đích viết một ứng dụng điều khiển robot hút bụi Romo bằng tay cầm PS5. Khi kết nối vào hệ thống máy chủ của DJI, ứng dụng của anh ngay lập tức nhận được phản hồi từ hàng nghìn thiết bị. Anh có thể:
- Kết nối và điều khiển robot từ xa.
- Xem video và âm thanh thu trực tiếp từ camera của thiết bị.
- Cho robot vẽ bản đồ di chuyển và xây dựng sơ đồ mặt bằng đầy đủ của các ngôi nhà.
- Tra cứu địa chỉ IP để ước tính vị trí địa lý của robot.
Trang Malwarebytes nhận xét: "Điều này giống như vô tình tạo ra đội quân gồm hàng nghìn robot hút bụi, cho phép anh ta theo dõi số lượng ngôi nhà tương tự mà không ai biết."
Nguyên nhân từ giao thức MQTT và bảo mật yếu kém
Lỗ hổng bắt nguồn từ giao thức MQTT mà DJI sử dụng để truyền tin nhắn giữa thiết bị và máy chủ. Mặc dù đây là giải pháp nhẹ, độ trễ thấp, lý tưởng cho điều khiển từ xa, nhưng mức độ bảo mật lại cực kỳ kém. Azdoufal có thể truy cập toàn bộ dữ liệu bằng mã thông báo riêng tư trích xuất từ robot của chính mình, mã này cho phép tiếp cận thông tin của hàng nghìn robot khác trên máy chủ.
Trong một buổi trình diễn với biên tập viên The Verge, hàng nghìn robot đã phản hồi mỗi 3 giây, gửi thông tin như số serial, phòng đang lau dọn, hình ảnh camera, quãng đường di chuyển, và chướng ngại vật. Tất cả dữ liệu đều hiển thị dưới dạng văn bản thuần, không được mã hóa.
Phạm vi ảnh hưởng và phản ứng từ DJI
Chỉ sau 9 phút, máy tính của Azdoufal đã kết nối với khoảng 6.700 robot hút bụi DJI tại 24 quốc gia, thu thập hơn 100.000 tin nhắn. Nếu tính cả các thiết bị khác như trạm điện di động DJI Power, con số vượt quá 10.000. Azdoufal thậm chí đã xác định được robot của biên tập viên The Verge, lập bản đồ chi tiết ngôi nhà dù đang ở nước ngoài.
Phát ngôn viên DJI Daisy Kong ban đầu khẳng định vấn đề đã được khắc phục, nhưng sau đó công ty đã ra thông cáo thừa nhận lỗi trong quy trình cấp quyền truy cập và tung ra hai bản vá phần mềm vào giữa tháng 2. Bản vá đầu tiên ngăn truy cập camera và microphone, bản vá thứ hai khiến ứng dụng của Azdoufal không nhận diện được bất kỳ robot nào.
Những lo ngại về bảo mật còn tồn tại
DJI khẳng định đã triển khai hệ thống mã hóa TLS, nhưng Azdoufal cho rằng nó chỉ bảo vệ kết nối, không che chắn dữ liệu bên trong. Anh còn tiết lộ nhiều lỗ hổng chưa được vá, bao gồm một điểm yếu cho phép vượt qua mã hóa PIN để truy cập dữ liệu camera. Sự cố này nhấn mạnh tầm quan trọng của việc tăng cường bảo mật trong các thiết bị IoT, đặc biệt là những sản phẩm liên quan đến không gian riêng tư của người dùng.
