Kỹ sư Tây Ban Nha vô tình "chiếm quyền kiểm soát" 7.000 robot hút bụi DJI, an ninh thiết bị gia dụng thông minh lại gặp lỗ hổng

Thông minh gia đình thiết bị mang lại tiện ích cho cuộc sống, nhưng cũng có thể mở cửa hậu về an ninh mạng. Gần đây, một kỹ sư phần mềm người Tây Ban Nha vô tình phát hiện ra rằng ông có thể điều khiển từ xa khoảng 7.000 robot quét nhà trên toàn cầu, thậm chí xem hình ảnh trực tiếp và thu thập lượng lớn thông tin thiết bị. Với thị trường nhà thông minh dự kiến đạt quy mô 139 tỷ USD vào năm 2032, sự phát triển nhanh chóng của ngành công nghiệp này đặt ra câu hỏi liệu cơ chế an toàn có theo kịp bước đổi mới hay không, trở thành vấn đề không thể bỏ qua.

Thử chỉnh sửa robot quét nhà, vô tình phát hiện lỗ hổng toàn cầu

Theo báo cáo của trang công nghệ The Verge, vụ việc bắt nguồn từ một thử nghiệm của kỹ sư phần mềm người Tây Ban Nha Sammy Azdoufal. Ban đầu, ông chỉ muốn thực hiện kỹ thuật ngược cho robot quét nhà DJI Romo mới mua để điều khiển thiết bị qua tay cầm PlayStation 5.

Tuy nhiên, sau khi tạo ứng dụng điều khiển từ xa tự chế và kết nối với máy chủ DJI, mọi chuyện diễn ra ngoài dự đoán: không chỉ một robot phản hồi, mà khoảng 7.000 robot quét nhà trên toàn cầu cùng lúc “để ông ấy làm chủ”.

Azdoufal phát hiện rằng ông không chỉ có thể xem hình ảnh, nghe âm thanh qua camera trực tiếp của thiết bị, mà còn thu thập hơn 100.000 dữ liệu từ các robot khác nhau. Thậm chí, ông còn có thể suy ra vị trí địa lý của thiết bị dựa trên địa chỉ IP của robot.

Điều này có nghĩa là, chỉ cần nắm giữ cùng một chứng thực truy cập, có thể kiểm soát quy mô lớn các thiết bị của người dùng khác.

Phản hồi của DJI: Lỗ hổng đã được khắc phục, Azdoufal lo bị kiện

Đáng chú ý, Azdoufal cho biết ông không có ý xấu, cũng không cố ý xâm nhập vào các thiết bị khác. Ông chủ động liên hệ báo cáo lỗ hổng này hy vọng vấn đề sẽ được xem xét và sửa chữa.

DJI sau đó xác nhận vấn đề đã được giải quyết và công khai cảm ơn Azdoufal trên nền tảng mạng xã hội X.

DJI nói: “Phản hồi có trách nhiệm của bạn rất quý giá đối với chúng tôi.”

Azdoufal cũng trả lời hài hước trên X, tự xưng là “người quét nhà” và đùa rằng nhiều người đã chủ động gửi robot quét nhà miễn phí cho ông.

Tuy nhiên, do truyền thông đưa tin rầm rộ, Azdoufal cũng lo sợ DJI sẽ tìm lý do kiện ông.

Chuyên gia an ninh cảnh báo: An toàn thiết bị thông minh thường bị bỏ qua

Thực tế, đây không phải là trường hợp cá biệt. Giáo sư khoa học máy tính tại Đại học Surrey, Anh, Alan Woodward, cho biết nhiều nhà sản xuất sản phẩm thông minh trong giai đoạn phát triển ban đầu thường đặt “đổi mới” và “chiếm lĩnh thị trường” lên hàng đầu, còn an ninh trở thành phần bổ sung sau này.

Woodward nói rằng ngành công nghiệp thường giữ tâm lý “hành động nhanh, phá vỡ quy tắc”, mong muốn ra mắt các sản phẩm mới rẻ hơn, nhiều chức năng hơn, nhưng phần mềm phát triển từ sớm đã chứng minh rằng, nếu bỏ qua thiết kế an ninh, cuối cùng sẽ phải trả giá bằng các lỗ hổng.

Ông nhấn mạnh rằng vấn đề an ninh của thiết bị thông minh không chỉ là lỗi phần mềm đơn lẻ, mà là vấn đề thiết kế hệ thống toàn diện, bao gồm:

• Cách phần mềm của thiết bị tương tác với máy chủ đám mây

• Cách máy chủ kết nối với ứng dụng điện thoại

• Cơ chế xác thực danh tính có hiệu quả cách ly các người dùng khác nhau hay không

Chỉ cần một trong các khâu này có thiết kế thiếu sót, có thể gây ra rủi ro dây chuyền.

Thị trường nhà thông minh bùng nổ, rủi ro cũng tăng theo

Theo dữ liệu của tổ chức nghiên cứu MarketsandMarkets, thị trường nhà thông minh toàn cầu dự kiến đạt quy mô 139 tỷ USD vào năm 2032. Từ đèn thông minh, khóa cửa, camera giám sát, thiết bị theo dõi trẻ sơ sinh đến hệ thống sưởi, các thiết bị này nhanh chóng thâm nhập vào đời sống gia đình.

Tuy nhiên, một nghiên cứu của tạp chí Journal of Information Security and Applications chỉ ra rằng, hacker đã thành công kiểm soát:

• Hệ thống chiếu sáng

• Khóa điện tử

• Camera an ninh

• Thiết bị theo dõi trẻ sơ sinh

• Hệ thống sưởi

Vụ việc robot quét nhà chỉ là một trong số đó. Khi các thiết bị kết nối mạng càng nhiều, các mặt tấn công tiềm năng cũng mở rộng theo.

Nguyên nhân lỗ hổng: Mật khẩu mặc định và cách ly quyền hạn không đủ

Trong vụ việc robot quét nhà này, Azdoufal đã có thể kiểm soát các thiết bị khác vì chứng thực của ông có thể truy cập vào các robot khác.

Woodward đề xuất rằng các doanh nghiệp nên bắt buộc người dùng đặt mật khẩu riêng khi lần đầu kích hoạt sản phẩm, thay vì dùng chung hoặc chứng thực mặc định dễ suy ra. Đồng thời, nhóm phát triển cũng cần hiểu rõ toàn diện hệ thống có thể bị xâm nhập như thế nào, chứ không chỉ tập trung vào một mô-đun đơn lẻ.

Ông nhấn mạnh rằng an ninh không chỉ là phần viết mã, mà là một phần của văn hóa thiết kế sản phẩm toàn diện.

Người tiêu dùng cũng cần nâng cao cảnh giác

Ngoài trách nhiệm của doanh nghiệp, người tiêu dùng cũng nên thận trọng đánh giá các rủi ro về quyền riêng tư khi sử dụng thiết bị thông minh.

Woodward nói: “Không phải vì có thể làm được, mà nhất thiết phải làm.”

Thiết bị gia dụng thông minh thực sự mang lại tiện ích, nhưng khi thiết bị có camera, microphone và khả năng định vị, nếu bị lạm dụng, hậu quả có thể vượt xa dự đoán.

Bài viết này về vụ kỹ sư Tây Ban Nha vô tình “chiếm quyền” 7.000 robot quét nhà DJI, lỗ hổng an ninh thiết bị gia đình thông minh, xuất hiện lần đầu trên trang tin ABMedia.