Insinyur menggunakan Claude untuk melakukan rekayasa balik pada robot penyapu DJI Romo dari DJI, secara tidak sengaja memperoleh kendali atas 7.000 perangkat di seluruh dunia dan mengakses privasi rumah. Mainan AI buatan China juga sering mengalami kebocoran data pribadi, menimbulkan kekhawatiran keamanan siber.
Kekhawatiran Keamanan Data pada Robot Penyapu DJI Romo dari DJI
Hanya ingin mengendalikan robot penyapu dengan pengontrol PS5, tapi secara tidak sengaja menguasai 7.000 robot di seluruh dunia?
Pada bulan Februari tahun ini, insinyur Sammy Azdoufal mengungkapkan kepada media 《The Verge》 bahwa dia awalnya hanya ingin mencoba mengendalikan robot penyapu DJI Romo dari DJI secara jarak jauh menggunakan pengontrol game PS5, lalu melalui asisten pemrograman AI Claude Code, melakukan rekayasa balik terhadap protokol komunikasi antara perangkat dan server cloud DJI.
Hasilnya, setelah dia membuat aplikasi sendiri dan menghubungkannya ke server, dia malah menemukan bahwa dirinya tidak hanya bisa mengendalikan perangkatnya sendiri, tetapi juga secara tidak sengaja mendapatkan kendali atas sekitar 7.000 robot penyapu DJI di seluruh dunia.
Azdoufal menyatakan bahwa dia dapat mengendalikan robot-robot ini dari jarak jauh, melihat dan mendengarkan melalui kamera real-time, bahkan melihat peta lantai yang menunjukkan bentuk dan ukuran setiap ruangan secara akurat.
Pengujian media membuktikan adanya celah keamanan, hanya dengan nomor seri saja bisa mengintip privasi rumah
Untuk memverifikasi celah keamanan pada DJI Romo, jurnalis 《The Verge》 meminta rekan yang baru selesai melakukan pengujian, Thomas Ricker, untuk memberikan nomor seri 14 digit dari robot penyapu DJI Romo tersebut, dan Azdoufal hanya dengan nomor seri ini, berhasil menemukan robot mereka di sistem dan secara tepat menunjukkan bahwa robot sedang membersihkan ruang tamu dengan sisa baterai 80%.
Sumber gambar: Situs resmi DJI dari DJI
Kekhawatiran Kebocoran Data Pribadi Rumah dalam Hitungan Menit
Dalam beberapa menit saja, robot yang berada di negara lain ini, telah menghasilkan dan mengirimkan peta rumah yang sangat akurat. Azdoufal menunjukkan kepada wartawan bahwa dia mampu melewati kata sandi keamanan dan langsung membuka tampilan gambar real-time dari perangkatnya sendiri.
Dia menegaskan bahwa dia tidak melakukan peretasan terhadap server DJI, melainkan hanya mengekstrak kredensial pribadi perangkat, dan server secara otomatis mengirimkan data dari ribuan pengguna lain kepada dia, serta semua informasi ditampilkan dalam bentuk teks terbuka.
DJI mengakui adanya masalah verifikasi otorisasi, dan mengklaim sudah memperbaikinya
DJI adalah perusahaan manufaktur drone dan teknologi asal China, yang memproduksi drone, kamera, dan robot penyapu, dengan pangsa pasar drone sipil dan komersial mencapai 70%-83%.
Sumber gambar: Situs resmi DJI dari DJI
Menanggapi pengungkapan insiden keamanan siber oleh media, juru bicara DJI, Daisy Kong, menyatakan bahwa celah tersebut terkait masalah verifikasi hak akses backend antara perangkat dan server. Perusahaan telah menemukan celah ini pada akhir Januari dan melakukan dua kali pembaruan perangkat lunak pada awal Februari untuk memperbaikinya.
DJI menegaskan bahwa secara teori, masalah ini bisa memungkinkan orang lain mengakses video real-time robot tanpa izin, tetapi kejadian seperti ini sangat jarang terjadi, dan hampir semua terjadi saat peneliti keamanan menguji perangkat mereka sendiri. Mereka juga menyatakan bahwa seluruh komunikasi menggunakan enkripsi TLS.
Namun, peneliti keamanan Kevin Finisterre menunjukkan bahwa, meskipun komunikasi DJI dienkripsi, jika server tidak memiliki kontrol akses yang tepat, internal perusahaan maupun klien yang sudah terautentikasi tetap dapat dengan mudah membaca data tersebut.
Kekhawatiran Keamanan Mainan AI Buatan China Juga Meningkat
Selain robot penyapu DJI, media asing baru-baru ini mengungkap kekhawatiran tentang keamanan data dan pendidikan dari mainan AI buatan China.
Menurut laporan 《Wired》 pada akhir Januari, peneliti keamanan Joseph Thacker dan Joel Margolis menemukan bahwa back-end perusahaan mainan AI China, Bondu, tidak memiliki perlindungan yang memadai, sehingga lebih dari 50.000 data pribadi anak dan percakapan bocor.
Selain itu, 《NBC News》 juga melaporkan bahwa boneka buatan Miriat, bernama Miiloo, menanamkan pandangan politik tertentu kepada anak-anak, seperti “Taiwan adalah bagian dari China”.
Organisasi riset kepentingan publik AS juga memperingatkan bahwa mainan AI ini tidak memiliki mekanisme penyaringan konten, yang mendorong Komite Khusus Masalah Tiongkok di DPR AS untuk mengirim surat ke Departemen Pendidikan, memperingatkan risiko privasi data dan keamanan nasional terkait perangkat tersebut.
Selengkapnya baca di:
Masih mau beli mainan AI? Bondu bocorkan 50.000 data anak, Miiloo tanamkan: Taiwan adalah bagian dari China
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
