Một nỗ lực tưởng chừng vô hại của một kỹ sư phần mềm (Sammy Azdoufal) nhằm tự chế ứng dụng điều khiển chiếc robot hút bụi DJI mới tậu bằng tay cầm chơi game đã dẫn đến một phát hiện rùng mình.
Theo đó, trong quá trình tự viết ứng dụng điều khiển từ xa, Azdoufal đã nhờ đến một trợ lý lập trình AI để dịch ngược cách robot giao tiếp với các máy chủ đám mây của DJI. Nhưng anh đã tá hỏa khi nhận ra chính thông tin đăng nhập giúp anh xem và điều khiển thiết bị của mình lại đồng thời cấp quyền truy cập vào nguồn cấp dữ liệu camera trực tiếp, âm thanh từ micro, bản đồ mặt bằng và dữ liệu trạng thái của gần 7.000 chiếc robot hút bụi khác trải dài trên 24 quốc gia.
Giao diện hệ thống của DJI vô tình rơi vào tầm kiểm soát của hacker "bất đắc dĩ".
Lỗi bảo mật máy chủ này đã phơi bày một "đội quân" robot kết nối internet. Nếu rơi vào tay kẻ xấu, hàng ngàn chiếc máy hút bụi này có thể ngay lập tức biến thành công cụ gián điệp mà chủ nhân của chúng không hề hay biết.
Nhân vật chính trong vụ việc này là DJI Romo – một mẫu robot hút bụi tự động cao cấp vừa ra mắt tại Trung Quốc năm ngoái và đang mở rộng ra thị trường quốc tế. Với mức giá đắt đỏ lên tới khoảng 2.000 USD, Romo to cỡ một chiếc tủ lạnh mini khi nằm trên trạm sạc và được trang bị hệ thống cảm biến tối tân để vẽ bản đồ và né chướng ngại vật.
Để một chiếc robot hiện đại như Romo hoạt động, nó phải liên tục thu thập dữ liệu hình ảnh trong nhà. Nó cũng cần bộ não phân tích để biết đâu là nhà bếp, đâu là phòng ngủ. Một phần dữ liệu cảm biến nhạy cảm này không nằm trên máy, mà được gửi thẳng lên máy chủ đám mây của DJI.
Để ý tưởng điều khiển bằng tay cầm của Azdoufal thành công, ứng dụng tự chế của anh phải giao tiếp được với máy chủ DJI và trích xuất một mã xác thực bảo mật (security token) để chứng minh anh là chủ sở hữu của con robot đó. Tuy nhiên, thay vì chỉ cấp quyền cho một chiếc máy duy nhất, máy chủ của DJI lại "hào phóng" trao cho anh quyền điều khiển cả một đội quân robot.
Mẫu robot hút bụi DJI Romo.
Sai sót ngớ ngẩn này đồng nghĩa với việc Azdoufal có thể dễ dàng xem trực tiếp camera, bật micro nghe lén, thu thập bản đồ mặt bằng 2D và thậm chí định vị được địa chỉ IP (vị trí gần đúng) của hàng ngàn ngôi nhà. Azdoufal khẳng định, anh chẳng hề "hack" hệ thống; anh chỉ tình cờ bước qua một cánh cửa mà người ta quên khóa.
Thay vì trục lợi, anh đã chia sẻ phát hiện của mình với chuyên trang công nghệ The Verge, đơn vị này sau đó nhanh chóng báo cáo lỗ hổng cho DJI. Mặc dù DJI khẳng định sự cố đã được giải quyết, nhưng sự cố này một lần nữa gióng lên hồi chuông cảnh báo từ các chuyên gia an ninh mạng, rằng các thiết bị nhà thông minh đang là miếng mồi ngon béo bở cho tin tặc.
Đại diện DJI cho biết: "Thông qua quá trình đánh giá nội bộ vào cuối tháng 1, DJI đã phát hiện ra lỗ hổng ảnh hưởng đến DJI Home và ngay lập tức tiến hành khắc phục. Vấn đề đã được xử lý triệt để qua hai bản vá tự động vào ngày 8/2 và 10/2 mà người dùng không cần thao tác gì thêm".
An An - Popsci
