Vô tình phát hiện lỗ hổng của robot hút bụi thông minh, lập trình viên nhận thưởng gần 800 triệu đồng

Theo các nguồn tin công nghệ, lập trình viên Sammy Azdoufal (Tây Ban Nha) phát hiện vấn đề trong quá trình thử nghiệm một dự án cá nhân: viết ứng dụng để điều khiển robot hút bụi DJI Romo bằng tay cầm PlayStation 5. Tuy nhiên, khi ứng dụng kết nối với máy chủ của DJI, anh nhận ra hệ thống phản hồi từ hàng nghìn robot khác trên toàn cầu.

Các thử nghiệm sau đó cho thấy Azdoufal có thể truy cập dữ liệu của khoảng 7.000 robot hút bụi đặt tại 24 quốc gia, bao gồm luồng video trực tiếp từ camera, âm thanh từ micro, sơ đồ mặt bằng nhà, cũng như nhiều thông tin trạng thái hoạt động của thiết bị.

Điều đáng chú ý là quá trình này không đòi hỏi việc xâm nhập máy chủ hay phá vỡ hệ thống bảo mật. Azdoufal cho biết anh chỉ sử dụng mã xác thực (token) trích xuất từ thiết bị của mình để giao tiếp với máy chủ. Tuy nhiên, do cơ chế kiểm soát quyền truy cập không được ràng buộc chặt với từng thiết bị, mã này lại cho phép truy xuất dữ liệu của nhiều robot khác.

Chia sẻ về phát hiện của mình, Azdoufal khẳng định: “Tôi không vi phạm quy định nào, không vượt qua hay phá vỡ hệ thống, cũng không brute force”.

Sau khi nhận thấy quy mô của lỗ hổng, Azdoufal đã thông báo sự việc với báo chí và nhà sản xuất. Theo trang The Verge, DJI sau đó xác nhận đã khắc phục một số vấn đề bảo mật quan trọng và tiến hành cập nhật hệ thống.

Một phát ngôn viên của DJI cho biết lỗ hổng cho phép truy cập video mà không cần mã PIN đã được vá vào cuối tháng 2. Công ty cũng đang tiếp tục triển khai các biện pháp bảo mật bổ sung và tiến hành kiểm toán an ninh bởi bên thứ ba để tăng cường an toàn cho hệ sinh thái thiết bị của mình.

Sau quá trình xác minh, DJI quyết định trao 30.000 USD (khoảng 790 triệu đồng) cho Azdoufal như một phần thưởng cho phát hiện quan trọng này.

Vụ việc đã làm dấy lên nhiều lo ngại về an ninh mạng trong lĩnh vực thiết bị gia dụng thông minh (IoT). Các robot hút bụi hiện đại thường được trang bị camera, micro và hệ thống lập bản đồ không gian để tối ưu hóa việc dọn dẹp, nhưng điều này cũng đồng nghĩa chúng có thể thu thập lượng lớn dữ liệu nhạy cảm từ bên trong nhà người dùng.

Giới chuyên gia cảnh báo rằng nếu các hệ thống máy chủ hoặc cơ chế xác thực không được thiết kế chặt chẽ, những thiết bị tưởng chừng vô hại như robot hút bụi có thể trở thành điểm yếu lớn về bảo mật. Sự cố DJI Romo vì thế được xem như một lời nhắc nhở đối với các nhà sản xuất: bảo mật cần được đặt ngang với tính năng và sự tiện lợi khi phát triển các thiết bị thông minh cho gia đình.