อุปกรณ์สมาร์ทโฮมนําความสะดวกสบายมาสู่ชีวิต แต่ยังสามารถเปิดประตูหลังของความปลอดภัยของข้อมูลได้อีกด้วย เมื่อเร็ว ๆ นี้วิศวกรซอฟต์แวร์ชาวสเปนค้นพบโดยบังเอิญว่าเขาสามารถควบคุมหุ่นยนต์ดูดฝุ่นประมาณ 7,000 เครื่องทั่วโลกจากระยะไกลได้แม้กระทั่งดูภาพแบบเรียลไทม์และรวบรวมข้อมูลอุปกรณ์จํานวนมาก เนื่องจากตลาดสมาร์ทโฮมคาดว่าจะสูงถึง 139 พันล้านดอลลาร์ภายในปี 2032 การเติบโตอย่างรวดเร็วของอุตสาหกรรมจึงเป็นประเด็นสําคัญที่ไม่สามารถละเลยได้ว่ากลไกการรักษาความปลอดภัยสามารถติดตามนวัตกรรมได้หรือไม่
พยายามดัดแปลงเครื่องกวาดพื้น แต่บังเอิญพบช่องโหว่ทั่วโลก
ตามรายงานของสื่อเทคโนโลยี “The Verge” เหตุการณ์ดังกล่าวเกิดจากการทดลองโดย Sammy Azdoufal วิศวกรซอฟต์แวร์ชาวสเปน เดิมทีเขาแค่ต้องการทําวิศวกรรมย้อนกลับหุ่นยนต์ดูดฝุ่น DJI Romo ที่เพิ่งซื้อมาใหม่เพื่อให้สามารถควบคุมอุปกรณ์ได้จากคอนโทรลเลอร์ PlayStation 5
อย่างไรก็ตามหลังจากที่แอปรีโมทคอนโทรลแบบโฮมเมดของเขาเชื่อมต่อกับเซิร์ฟเวอร์ DJI สิ่งต่าง ๆ ก็พลิกผันอย่างไม่คาดคิด: ไม่ใช่แค่หุ่นยนต์ตัวเดียวที่ตอบสนอง แต่หุ่นยนต์ดูดฝุ่นประมาณ 7,000 ตัวทั่วโลก “รับเขาเป็นเจ้านาย” ในเวลาเดียวกัน
Azdoufal พบว่าเขาไม่เพียงแต่สามารถดูและฟังเสียงผ่านกล้องถ่ายทอดสดของอุปกรณ์เท่านั้น แต่ยังรวบรวมข้อมูลจากข้อความมากกว่า 100,000 ข้อความจากบอทต่างๆ สิ่งที่น่าตกใจยิ่งกว่านั้นคือเขายังสามารถอนุมานตําแหน่งทางภูมิศาสตร์โดยประมาณของอุปกรณ์ได้จากที่อยู่ IP ของหุ่นยนต์
ซึ่งหมายความว่าด้วยข้อมูลรับรองการเข้าถึงเดียวกัน จึงเป็นไปได้ที่จะควบคุมอุปกรณ์ของผู้ใช้รายอื่นในวงกว้าง
DJI ตอบกลับ: แก้ไขช่องโหว่ Azdoufal กังวลจําเลย
เป็นที่น่าสังเกตว่า Azdoufal ระบุว่าเขาไม่ได้ตั้งใจที่จะประนีประนอมกับอุปกรณ์อื่น ๆ โดยไม่มีความอาฆาตพยาบาท เขาริเริ่มติดต่อและรายงานช่องโหว่นี้โดยหวังว่าปัญหาจะสามารถเผชิญและซ่อมแซมได้
จากนั้น DJI ยืนยันว่าปัญหาได้รับการแก้ไขแล้วและขอบคุณ Azdoufal ต่อสาธารณชนสําหรับการกลับมาของเขาบนแพลตฟอร์มโซเชียล X
“ข้อเสนอแนะที่รับผิดชอบของคุณมีค่ามากสําหรับเรา” DJI กล่าว
Azdoufal ยังตอบกลับอย่างตลกขบขันใน X โดยเรียกตัวเองว่า “คนดูดฝุ่น” และพูดติดตลกเกี่ยวกับการได้รับผู้คนจํานวนมากที่เสนอหุ่นยนต์ดูดฝุ่นฟรี
ถึงกระนั้น เนื่องจากสื่อเร่งรีบรายงานเรื่องนี้ Azdoufal ก็กังวลว่า DJI จะหาเหตุผลในการยื่นฟ้องเขา
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเตือน: ความปลอดภัยของอุปกรณ์อัจฉริยะมักถูกมองข้าม
ในความเป็นจริงนี่ไม่ใช่กรณีส่วนบุคคล อลัน วูดเวิร์ด ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัย Surrey ในสหราชอาณาจักรชี้ให้เห็นว่าผู้ผลิตผลิตภัณฑ์อัจฉริยะหลายรายมักให้ความสําคัญกับ “นวัตกรรม” และ “การคว้าตลาด” ในช่วงแรกของการพัฒนาผลิตภัณฑ์ ในขณะที่ความปลอดภัยกลายเป็นตัวเลือกในการเสริมในภายหลัง
วูดเวิร์ดกล่าวว่าอุตสาหกรรมมักมีความคิด “ก้าวไปอย่างรวดเร็ว ทําลายแม่พิมพ์” และต้องการเปิดตัวผลิตภัณฑ์ใหม่ที่มีราคาถูกกว่าและมีคุณสมบัติมากกว่า แต่การพัฒนาซอฟต์แวร์ได้พิสูจน์แล้วตั้งแต่เนิ่นๆ ว่าหากคุณเพิกเฉยต่อการออกแบบความปลอดภัย คุณจะต้องจ่ายราคาของช่องโหว่ในที่สุด
เขาชี้ให้เห็นว่าปัญหาด้านความปลอดภัยของอุปกรณ์อัจฉริยะไม่ใช่ข้อผิดพลาดของส่วนประกอบซอฟต์แวร์เพียงอย่างเดียว แต่เป็นปัญหาการออกแบบระบบโดยรวม ได้แก่:
ซอฟต์แวร์ของอุปกรณ์โต้ตอบกับเซิร์ฟเวอร์คลาวด์อย่างไร
วิธีที่เซิร์ฟเวอร์เชื่อมต่อกับแอพมือถือ
กลไกการรับรองความถูกต้องจะแยกผู้ใช้ที่แตกต่างกันอย่างมีประสิทธิภาพหรือไม่
ตราบใดที่มีข้อบกพร่องในการออกแบบในลิงก์ใดลิงก์หนึ่ง อาจมีความเสี่ยงแบบเรียงซ้อน
ตลาดสมาร์ทโฮมระเบิดและความเสี่ยงเพิ่มขึ้นพร้อมกัน
จากข้อมูลของบริษัทวิจัย MarketsandMarkets ตลาดสมาร์ทโฮมทั่วโลกคาดว่าจะมีมูลค่าถึง 139 พันล้านดอลลาร์ภายในปี 2032 ตั้งแต่ไฟอัจฉริยะ ล็อคประตู จอภาพ เบบี้มอนิเตอร์ ไปจนถึงระบบทําความร้อน อุปกรณ์ต่าง ๆ แทรกซึมเข้าสู่ชีวิตในบ้านได้อย่างรวดเร็ว
อย่างไรก็ตาม การศึกษาในวารสารความปลอดภัยของข้อมูลและแอปพลิเคชันชี้ให้เห็นว่าแฮกเกอร์สามารถควบคุมได้สําเร็จ:
ระบบไฟส่องสว่าง
ล็อคประตูอิเล็กทรอนิกส์
กล้องรักษาความปลอดภัย
เบบี้มอนิเตอร์
ระบบทําความร้อน
เหตุการณ์หุ่นยนต์ดูดฝุ่นเป็นเพียงหนึ่งในนั้น เมื่อมีอุปกรณ์เชื่อมต่อกับอินเทอร์เน็ตมากขึ้นพื้นผิวการโจมตีที่อาจเกิดขึ้นจะขยายไปพร้อมกัน
สาเหตุที่แท้จริงของช่องโหว่: การแยกระหว่างใบรับรองเริ่มต้นและการอนุญาตไม่เพียงพอ
ในเหตุการณ์เครื่องกวาดนี้ Azdoufal สามารถควบคุมอุปกรณ์อื่นๆ ได้เนื่องจากข้อมูลประจําตัวของอุปกรณ์ของเขาทําให้เขาเข้าถึงหุ่นยนต์ตัวอื่นได้
Woodward แนะนําว่าธุรกิจควรบังคับให้ผู้ใช้ตั้งรหัสผ่านที่ไม่ซ้ํากันเมื่อเปิดใช้งานผลิตภัณฑ์เป็นครั้งแรก แทนที่จะใช้ข้อมูลประจําตัวเริ่มต้นที่เหมือนกันหรือได้มา ในขณะเดียวกันทีมพัฒนายังต้องมีความเข้าใจอย่างครอบคลุมว่าระบบสามารถถูกบุกรุกได้อย่างไรแทนที่จะมุ่งเน้นไปที่โมดูลเดียวเพียงโมดูลเดียว
เขาเน้นย้ําว่าความปลอดภัยของข้อมูลไม่ได้เป็นเพียงส่วนหนึ่งของการเขียนโปรแกรม แต่เป็นส่วนหนึ่งของวัฒนธรรมการออกแบบผลิตภัณฑ์โดยรวม
ผู้บริโภคยังต้องระมัดระวัง
นอกเหนือจากความรับผิดชอบขององค์กรแล้ว ผู้บริโภคควรประเมินความเสี่ยงด้านความเป็นส่วนตัวที่เกิดจากอุปกรณ์อัจฉริยะอย่างรอบคอบ
“เพียงเพราะคุณทําได้ไม่ได้หมายความว่าคุณควรทํา” วู้ดเวิร์ดกล่าว
เครื่องใช้ในบ้านอัจฉริยะทําให้ชีวิตง่ายขึ้น แต่เมื่ออุปกรณ์มีกล้องไมโครโฟนและความสามารถในการกําหนดตําแหน่งหากใช้ในทางที่ผิดผลที่ตามมาอาจมากกว่าที่คาดไว้
บทความนี้ วิศวกรชาวสเปนบังเอิญ “เข้าครอบครอง” หุ่นยนต์ดูดฝุ่น DJI 7,000 เครื่อง และมีช่องโหว่อีกประการหนึ่งในความปลอดภัยของข้อมูลของเครื่องใช้ในบ้านอัจฉริยะ ปรากฏตัวครั้งแรกเมื่อ ข่าวโซ่ ABMedia.