วิศวกรชาวสเปนบังเอิญ "เข้าควบคุม" หุ่นยนต์ทำความสะอาด DJI กว่า 7,000 เครื่อง ความปลอดภัยของอุปกรณ์อัจฉริยะในบ้านยังคงมีช่องโหว่อีก

อุปกรณ์สมาร์ทโฮมนําความสะดวกสบายมาสู่ชีวิต แต่ยังสามารถเปิดประตูหลังของความปลอดภัยของข้อมูลได้อีกด้วย เมื่อเร็ว ๆ นี้วิศวกรซอฟต์แวร์ชาวสเปนค้นพบโดยบังเอิญว่าเขาสามารถควบคุมหุ่นยนต์ดูดฝุ่นประมาณ 7,000 เครื่องทั่วโลกจากระยะไกลได้แม้กระทั่งดูภาพแบบเรียลไทม์และรวบรวมข้อมูลอุปกรณ์จํานวนมาก เนื่องจากตลาดสมาร์ทโฮมคาดว่าจะสูงถึง 139 พันล้านดอลลาร์ภายในปี 2032 การเติบโตอย่างรวดเร็วของอุตสาหกรรมจึงเป็นประเด็นสําคัญที่ไม่สามารถละเลยได้ว่ากลไกการรักษาความปลอดภัยสามารถติดตามนวัตกรรมได้หรือไม่

พยายามดัดแปลงเครื่องกวาดพื้น แต่บังเอิญพบช่องโหว่ทั่วโลก

ตามรายงานของสื่อเทคโนโลยี “The Verge” เหตุการณ์ดังกล่าวเกิดจากการทดลองโดย Sammy Azdoufal วิศวกรซอฟต์แวร์ชาวสเปน เดิมทีเขาแค่ต้องการทําวิศวกรรมย้อนกลับหุ่นยนต์ดูดฝุ่น DJI Romo ที่เพิ่งซื้อมาใหม่เพื่อให้สามารถควบคุมอุปกรณ์ได้จากคอนโทรลเลอร์ PlayStation 5

อย่างไรก็ตามหลังจากที่แอปรีโมทคอนโทรลแบบโฮมเมดของเขาเชื่อมต่อกับเซิร์ฟเวอร์ DJI สิ่งต่าง ๆ ก็พลิกผันอย่างไม่คาดคิด: ไม่ใช่แค่หุ่นยนต์ตัวเดียวที่ตอบสนอง แต่หุ่นยนต์ดูดฝุ่นประมาณ 7,000 ตัวทั่วโลก “รับเขาเป็นเจ้านาย” ในเวลาเดียวกัน

Azdoufal พบว่าเขาไม่เพียงแต่สามารถดูและฟังเสียงผ่านกล้องถ่ายทอดสดของอุปกรณ์เท่านั้น แต่ยังรวบรวมข้อมูลจากข้อความมากกว่า 100,000 ข้อความจากบอทต่างๆ สิ่งที่น่าตกใจยิ่งกว่านั้นคือเขายังสามารถอนุมานตําแหน่งทางภูมิศาสตร์โดยประมาณของอุปกรณ์ได้จากที่อยู่ IP ของหุ่นยนต์

ซึ่งหมายความว่าด้วยข้อมูลรับรองการเข้าถึงเดียวกัน จึงเป็นไปได้ที่จะควบคุมอุปกรณ์ของผู้ใช้รายอื่นในวงกว้าง

DJI ตอบกลับ: แก้ไขช่องโหว่ Azdoufal กังวลจําเลย

เป็นที่น่าสังเกตว่า Azdoufal ระบุว่าเขาไม่ได้ตั้งใจที่จะประนีประนอมกับอุปกรณ์อื่น ๆ โดยไม่มีความอาฆาตพยาบาท เขาริเริ่มติดต่อและรายงานช่องโหว่นี้โดยหวังว่าปัญหาจะสามารถเผชิญและซ่อมแซมได้

จากนั้น DJI ยืนยันว่าปัญหาได้รับการแก้ไขแล้วและขอบคุณ Azdoufal ต่อสาธารณชนสําหรับการกลับมาของเขาบนแพลตฟอร์มโซเชียล X

“ข้อเสนอแนะที่รับผิดชอบของคุณมีค่ามากสําหรับเรา” DJI กล่าว

Azdoufal ยังตอบกลับอย่างตลกขบขันใน X โดยเรียกตัวเองว่า “คนดูดฝุ่น” และพูดติดตลกเกี่ยวกับการได้รับผู้คนจํานวนมากที่เสนอหุ่นยนต์ดูดฝุ่นฟรี

ถึงกระนั้น เนื่องจากสื่อเร่งรีบรายงานเรื่องนี้ Azdoufal ก็กังวลว่า DJI จะหาเหตุผลในการยื่นฟ้องเขา

ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเตือน: ความปลอดภัยของอุปกรณ์อัจฉริยะมักถูกมองข้าม

ในความเป็นจริงนี่ไม่ใช่กรณีส่วนบุคคล อลัน วูดเวิร์ด ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัย Surrey ในสหราชอาณาจักรชี้ให้เห็นว่าผู้ผลิตผลิตภัณฑ์อัจฉริยะหลายรายมักให้ความสําคัญกับ “นวัตกรรม” และ “การคว้าตลาด” ในช่วงแรกของการพัฒนาผลิตภัณฑ์ ในขณะที่ความปลอดภัยกลายเป็นตัวเลือกในการเสริมในภายหลัง

วูดเวิร์ดกล่าวว่าอุตสาหกรรมมักมีความคิด “ก้าวไปอย่างรวดเร็ว ทําลายแม่พิมพ์” และต้องการเปิดตัวผลิตภัณฑ์ใหม่ที่มีราคาถูกกว่าและมีคุณสมบัติมากกว่า แต่การพัฒนาซอฟต์แวร์ได้พิสูจน์แล้วตั้งแต่เนิ่นๆ ว่าหากคุณเพิกเฉยต่อการออกแบบความปลอดภัย คุณจะต้องจ่ายราคาของช่องโหว่ในที่สุด

เขาชี้ให้เห็นว่าปัญหาด้านความปลอดภัยของอุปกรณ์อัจฉริยะไม่ใช่ข้อผิดพลาดของส่วนประกอบซอฟต์แวร์เพียงอย่างเดียว แต่เป็นปัญหาการออกแบบระบบโดยรวม ได้แก่:

ซอฟต์แวร์ของอุปกรณ์โต้ตอบกับเซิร์ฟเวอร์คลาวด์อย่างไร

วิธีที่เซิร์ฟเวอร์เชื่อมต่อกับแอพมือถือ

กลไกการรับรองความถูกต้องจะแยกผู้ใช้ที่แตกต่างกันอย่างมีประสิทธิภาพหรือไม่

ตราบใดที่มีข้อบกพร่องในการออกแบบในลิงก์ใดลิงก์หนึ่ง อาจมีความเสี่ยงแบบเรียงซ้อน

ตลาดสมาร์ทโฮมระเบิดและความเสี่ยงเพิ่มขึ้นพร้อมกัน

จากข้อมูลของบริษัทวิจัย MarketsandMarkets ตลาดสมาร์ทโฮมทั่วโลกคาดว่าจะมีมูลค่าถึง 139 พันล้านดอลลาร์ภายในปี 2032 ตั้งแต่ไฟอัจฉริยะ ล็อคประตู จอภาพ เบบี้มอนิเตอร์ ไปจนถึงระบบทําความร้อน อุปกรณ์ต่าง ๆ แทรกซึมเข้าสู่ชีวิตในบ้านได้อย่างรวดเร็ว

อย่างไรก็ตาม การศึกษาในวารสารความปลอดภัยของข้อมูลและแอปพลิเคชันชี้ให้เห็นว่าแฮกเกอร์สามารถควบคุมได้สําเร็จ:

ระบบไฟส่องสว่าง

ล็อคประตูอิเล็กทรอนิกส์

กล้องรักษาความปลอดภัย

เบบี้มอนิเตอร์

ระบบทําความร้อน

เหตุการณ์หุ่นยนต์ดูดฝุ่นเป็นเพียงหนึ่งในนั้น เมื่อมีอุปกรณ์เชื่อมต่อกับอินเทอร์เน็ตมากขึ้นพื้นผิวการโจมตีที่อาจเกิดขึ้นจะขยายไปพร้อมกัน

สาเหตุที่แท้จริงของช่องโหว่: การแยกระหว่างใบรับรองเริ่มต้นและการอนุญาตไม่เพียงพอ

ในเหตุการณ์เครื่องกวาดนี้ Azdoufal สามารถควบคุมอุปกรณ์อื่นๆ ได้เนื่องจากข้อมูลประจําตัวของอุปกรณ์ของเขาทําให้เขาเข้าถึงหุ่นยนต์ตัวอื่นได้

Woodward แนะนําว่าธุรกิจควรบังคับให้ผู้ใช้ตั้งรหัสผ่านที่ไม่ซ้ํากันเมื่อเปิดใช้งานผลิตภัณฑ์เป็นครั้งแรก แทนที่จะใช้ข้อมูลประจําตัวเริ่มต้นที่เหมือนกันหรือได้มา ในขณะเดียวกันทีมพัฒนายังต้องมีความเข้าใจอย่างครอบคลุมว่าระบบสามารถถูกบุกรุกได้อย่างไรแทนที่จะมุ่งเน้นไปที่โมดูลเดียวเพียงโมดูลเดียว

เขาเน้นย้ําว่าความปลอดภัยของข้อมูลไม่ได้เป็นเพียงส่วนหนึ่งของการเขียนโปรแกรม แต่เป็นส่วนหนึ่งของวัฒนธรรมการออกแบบผลิตภัณฑ์โดยรวม

ผู้บริโภคยังต้องระมัดระวัง

นอกเหนือจากความรับผิดชอบขององค์กรแล้ว ผู้บริโภคควรประเมินความเสี่ยงด้านความเป็นส่วนตัวที่เกิดจากอุปกรณ์อัจฉริยะอย่างรอบคอบ

“เพียงเพราะคุณทําได้ไม่ได้หมายความว่าคุณควรทํา” วู้ดเวิร์ดกล่าว

เครื่องใช้ในบ้านอัจฉริยะทําให้ชีวิตง่ายขึ้น แต่เมื่ออุปกรณ์มีกล้องไมโครโฟนและความสามารถในการกําหนดตําแหน่งหากใช้ในทางที่ผิดผลที่ตามมาอาจมากกว่าที่คาดไว้

บทความนี้ วิศวกรชาวสเปนบังเอิญ “เข้าครอบครอง” หุ่นยนต์ดูดฝุ่น DJI 7,000 เครื่อง และมีช่องโหว่อีกประการหนึ่งในความปลอดภัยของข้อมูลของเครื่องใช้ในบ้านอัจฉริยะ ปรากฏตัวครั้งแรกเมื่อ ข่าวโซ่ ABMedia.