Không cần đến những đòn tấn công mã hóa phức tạp hay xâm nhập máy chủ, một sơ suất khó tin trong khâu xác thực đã biến hàng ngàn chiếc robot hút bụi của DJI thành những "con mắt gián điệp" rải rác khắp các phòng ngủ trên toàn thế giới.
Việc điều khiển robot hút bụi hay các thiết bị thông minh từ xa thông qua Cloud vốn là một sự đánh đổi hiển nhiên: Chúng ta mua lấy sự tiện lợi bằng cách mở ra một "bề mặt tấn công" đầy rủi ro. Thế nhưng, với trường hợp của dòng robot hút bụi Romo mới nhất từ nhà DJI, lỗ hổng này nghiêm trọng đến mức một người dùng bình thường cũng có thể vô tình trở thành "kẻ giám sát" quy mô toàn cầu.
Từ thú vui "vọc vạch" đến phát hiện kinh hoàng
Câu chuyện bắt đầu đầy ngẫu hứng khi Sammy Azdoufal, một chuyên gia chiến lược AI, tậu chiếc robot Romo của DJI. Với tâm thế của một tín đồ công nghệ, thay vì dùng ứng dụng chính chủ trên điện thoại, Azdoufal nảy ra ý tưởng táo bạo: Liệu có thể điều khiển robot chạy quanh nhà bằng tay cầm DualSense của PlayStation 5 hay không?
Để hiện thực hóa điều này, anh sử dụng công cụ Claude Code để viết một ứng dụng điều khiển từ xa tùy chỉnh. Kịch bản tưởng chừng chỉ dừng lại ở một dự án cá nhân vui vẻ, nhưng ngay khi ứng dụng của Azdoufal kết nối với máy chủ đám mây của DJI để xác thực, một thực tế kinh hoàng đã lộ diện.
Hệ thống của DJI không chỉ xác thực chiếc máy hút bụi trong phòng khách nhà anh. Thay vào đó, nó "hào phóng" cấp quyền truy cập cho Azdoufal vào khoảng 6.700 thiết bị tại 24 quốc gia. Nếu tính cả các trạm sạc di động kết nối cùng hệ thống, tổng số thiết bị bị lộ lên tới hơn 10.000.
![Chỉ cần tay cầm PS5, chuyên gia bê luôn quyền kiểm soát 10.000 robot hút bụi DJI toàn cầu]( "Chi can tay cam PS5, chuyen gia")
"Con mắt" trong nhà người lạ
Sự việc nhanh chóng biến thành một cơn ác mộng về quyền riêng tư. Chỉ với vài dòng code và một kết nối Internet, Azdoufal đột nhiên nắm giữ quyền năng tối thượng đối với hàng ngàn ngôi nhà xa lạ. Anh có thể quan sát trực tiếp qua camera tích hợp của robot, theo dõi sinh hoạt của những người không hề quen biết và điều khiển thiết bị của họ như thể chúng thuộc về mình.
Mức độ rò rỉ dữ liệu không dừng lại ở hình ảnh. Azdoufal có thể truy cập vào các siêu dữ liệu cực kỳ nhạy cảm như số sê-ri, địa chỉ IP và đặc biệt là sơ đồ mặt bằng chi tiết của căn nhà do robot tự quét. Thậm chí, một lỗ hổng hớ hệnh khác còn cho phép anh vượt qua mã PIN bảo mật của bất kỳ thiết bị nào chỉ bằng một dãy mã 14 chữ số định sẵn.
Điều đáng nói là dù Azdoufal đang ngồi tại Tây Ban Nha, anh vẫn có thể thâm nhập vào các máy chủ được cho là đặt tại Mỹ của DJI một cách mượt mà. Điều này đập tan ảo tưởng rằng "dữ liệu lưu trữ nội địa" là tấm khiên an toàn tuyệt đối trước những sai lầm trong thiết kế hệ thống.
![Chỉ cần tay cầm PS5, chuyên gia bê luôn quyền kiểm soát 10.000 robot hút bụi DJI toàn cầu 2]( "Chi can tay cam PS5, chuyen gia")
Lời cảnh tỉnh cho kỷ nguyên Internet of Things
Ngay sau khi nhận được cảnh báo từ Azdoufal, DJI đã lập tức vá lỗ hổng. Trong thông cáo sau đó, gã khổng lồ công nghệ này nỗ lực hạ thấp mức độ nghiêm trọng khi khẳng định rằng lỗ hổng chỉ bị khai thác bởi "một số lượng rất nhỏ người dùng", phần lớn là các nhà nghiên cứu bảo mật.
Tuy nhiên, Azdoufal không đồng tình. Anh cho biết mình còn tìm thấy thêm nhiều điểm yếu khác, trong đó có những lỗ hổng "chí mạng" đến mức trang tin The Verge đã quyết định không công bố chi tiết để tránh tạo ra một làn sóng tấn công hàng loạt. Vụ việc này chính là minh chứng sống động cho lý do tại sao FCC (Ủy ban Truyền thông Liên bang Mỹ) lại cực kỳ khắt khe với các thiết bị kết nối có nguồn gốc nước ngoài.
Sự cố của DJI Romo không chỉ là một lỗi kỹ thuật đơn thuần, mà còn là lời cảnh báo đanh thép: Khi chúng ta mang một thiết bị có camera, micro và khả năng di chuyển vào không gian riêng tư nhất của mình, chúng ta đang đặt toàn bộ bí mật đời tư vào tay những dòng code của nhà sản xuất. Và đôi khi, những dòng code đó lại lỏng lẻo đến mức chỉ cần một chiếc tay cầm chơi game cũng đủ để bẻ gãy.