Robot hút bụi DJI lộ lỗ hổng bảo mật, người dùng có thể bị theo dõi từ xa
- Bình Minh
- •
Gần đây, một kỹ sư phần mềm tại Tây Ban Nha tiết lộ rằng robot hút bụi của DJI tồn tại lỗ hổng bảo mật nghiêm trọng ở hệ thống phía sau (backend). Chỉ với chiếc robot hút bụi tại nhà, anh có thể truy cập camera, micro và sơ đồ mặt bằng từ xa của gần 7.000 hộ gia đình tại 24 quốc gia, thậm chí định vị vị trí thiết bị.
Theo truyền thông công nghệ Mỹ “The Verge”, kỹ sư người Tây Ban Nha Sammy Azdoufal khi thử dùng công nghệ AI để cải tiến robot hút bụi thuộc DJI (DJI Romo), nhằm kết nối với tay cầm PlayStation 5, đã vô tình có được quyền truy cập vào khoảng 7.000 máy chủ thiết bị tại 24 quốc gia và khu vực trên toàn cầu.
Thông qua camera tích hợp, anh có thể quan sát bên trong nhà người dùng từ xa, lập sơ đồ bố cục, thậm chí truy vết vị trí thiết bị qua địa chỉ IP.
Nói cách khác, anh đã phát hiện một lỗ hổng bảo mật ở hệ thống backend, cho phép robot hút bụi kết nối internet biến thành thiết bị giám sát, theo dõi chủ nhà mà họ không hề hay biết.
Để xác minh tính xác thực của lỗ hổng, phóng viên “The Verge” đã cung cấp số sê-ri thiết bị của mình cho kỹ sư Azdoufal. Vài phút sau, anh đã có thể xem thiết bị đang dọn phòng khách của phóng viên, pin còn 80%, đồng thời gửi lại sơ đồ mặt bằng căn nhà.
Azdoufal cho biết anh không sử dụng bất kỳ phương thức xâm nhập trái phép nào, mà chỉ truy cập thông qua giao diện có lỗ hổng để đạt được “quyền truy cập toàn diện”. Anh khẳng định không lợi dụng lỗ hổng này để trục lợi, mà lựa chọn công khai thông tin với hy vọng nhà sản xuất sẽ khắc phục vấn đề.
Ban đầu, DJI phản hồi rằng đã hoàn tất việc vá lỗi, nhưng sau khi kiểm tra lại, Azdoufal cho biết vẫn có thể truy cập một phần dữ liệu thiết bị. Sau đó, DJI ra tuyên bố thừa nhận cơ chế xác thực quyền truy cập ở hệ thống backend có vấn đề, và đã phát hành hai bản cập nhật vá lỗi vào ngày 8/2 và 10/2.
Azdoufal cho biết hiện vẫn còn tồn tại những rủi ro bảo mật khác, bao gồm “bỏ qua mã PIN”. Lỗ hổng “bỏ qua mã PIN” vẫn cho phép người dùng xem luồng video của robot hút bụi DJI mà không cần mã PIN bảo mật cần thiết.
Vụ việc đã gây tranh cãi trên các nền tảng mạng xã hội. Một số cư dân mạng nghi ngờ đây không phải là sơ suất mà là hành vi cố ý.
“Đây đâu phải lỗ hổng, rõ ràng là cửa hậu tự mở cho mình, chỉ là vô tình bị người dùng phát hiện.”
“Xem ra DJI cũng là công ty gián điệp, chắc là cố ý.”
“Đó là lý do không nên sử dụng các thiết bị Internet vạn vật (IoT) và thiết bị mạng thuộc các thương hiệu của Đảng Cộng sản Trung Quốc (ĐCSTQ). Các cửa hậu và lỗ hổng được cài cắm là điều phổ biến, không phải lỗi hay trục trặc hệ thống thông thường. Nếu không bị phát hiện, ĐCSTQ sẽ âm thầm giám sát và ghi lại thông tin người dùng; nếu bị phát hiện, họ sẽ nói đó là lỗi phần mềm hoặc phần cứng.”
“Điều này cũng cho thấy tất cả các sản phẩm điện tử của ĐCSTQ đều có thiết bị giám sát, bao gồm cả điện thoại. Nếu mua sản phẩm của ĐCSTQ thì phải chuẩn bị tâm lý trước.”
Không chỉ DJI, nhiều hãng robot hút bụi như Ecovacs, Dreame hay Narwal cũng dính bê bối bảo mật, để tin tặc chiếm quyền điều khiển camera và đánh cắp dữ liệu.
Năm 2024, tin tặc đã chiếm quyền kiểm soát robot hút bụi của Ecovacs để rượt đuổi thú cưng và phát ra những lời lẽ phân biệt chủng tộc.
Đến năm 2025, các cơ quan chính phủ Hàn Quốc báo cáo mẫu Dreame X50 Ultra chứa lỗ hổng cho phép tin tặc truy cập và xem nguồn cấp dữ liệu camera theo thời gian thực.
Tương tự, một thiết bị khác của Ecovacs cùng robot hút bụi Narwal cũng tồn tại kẽ hở cho phép kẻ gian xem và đánh cắp hình ảnh lưu trữ.
Sự việc là lời nhắc nhở người tiêu dùng cần cân nhắc giữa mức độ tiện lợi và rủi ro bảo mật khi lắp đặt các thiết bị thông minh trong gia đình. Các nhà nghiên cứu khuyến cáo người dùng nên thường xuyên cập nhật firmware và kiểm tra các quyền truy cập dữ liệu của ứng dụng đi kèm thiết bị.
Xem thêm
Từ khóa robot hút bụi DJI
