Kỹ sư vô tình phát hiện lỗ hổng bảo mật trên 7000 máy hút bụi thông minh DJI

Từ lỗ hổng bảo mật camera an ninh đến chợ đen clip nhạy cảm

Phát hiện lỗ hổng mạng lõi di động LTE: Nokia có 59 lỗ hổng nhưng từ chối 'vá'

Lần đầu AI tự tấn công mạng thay con người

Máy hút bụi DJI Romo. Ảnh: Sipa US/Alamy Stock Photo/Alamy Live News.

Kỹ sư "vô tình" làm chủ 7.000 máy hút bụi thông minh DJI

Sammy Azdoufal, trưởng bộ phận trí tuệ nhân tạo tại một tập đoàn quản lý bất động sản và du lịch Tây Ban Nha, ban đầu chỉ muốn làm một việc khá bình thường với dân kỹ thuật: tháo ngược chiếc máy hút bụi DJI Romo mới mua để gắn thêm tay cầm điều khiển PlayStation 5. Thế nhưng khi ứng dụng tự chế của anh bắt đầu kết nối với máy chủ DJI, thứ anh nhận lại không phải tín hiệu từ một chiếc máy, mà là phản hồi đồng loạt từ khoảng 7.000 thiết bị khắp thế giới. Toàn bộ chúng nhận lệnh từ anh như thể anh là chủ nhân hợp pháp.

Azdoufal sau đó xác nhận mình có thể xem video trực tiếp từ camera của từng thiết bị, nghe âm thanh xung quanh, thu thập hơn 100.000 tin nhắn từ các robot và dùng địa chỉ IP để xác định vị trí gần đúng của chủ nhà. Tất cả điều này xảy ra chỉ vì thông tin đăng nhập thiết bị của anh có quyền truy cập vào toàn bộ hệ thống, thay vì chỉ thiết bị của riêng mình.

Thay vì khai thác lỗ hổng, Azdoufal chọn cách báo cáo sự việc cho trang công nghệ The Verge tại New York. DJI sau đó xác nhận đã khắc phục vấn đề và công khai cảm ơn anh trên mạng xã hội X.

Tiện ích càng cao, rủi ro càng lớn

Dyson lên kệ máy hút bụi lau sàn Dyson Clean+Wash Hygiene

Sự việc của Azdoufal không phải trường hợp cá biệt. Alan Woodward, Giáo sư khoa học máy tính tại Đại học Surrey (Anh), nhận định rằng với nhiều nhà sản xuất thiết bị thông minh, bảo mật chỉ là vấn đề thứ yếu. Ông phân tích thẳng thắn: các công ty chạy đua tốc độ ra thị trường, cắt giá thành và nhồi tính năng mới, rồi trả giá bằng những lỗ hổng bảo mật mà đáng lẽ ngành phần mềm đã rút ra bài học từ rất sớm.

Theo nghiên cứu đăng trên Tạp chí An ninh Thông tin và Ứng dụng, ngoài máy hút bụi, kẻ tấn công mạng còn có thể kiểm soát hệ thống chiếu sáng, khóa cửa, camera an ninh, máy theo dõi trẻ em và hệ thống sưởi ấm trong nhà thông minh. Thị trường nhà thông minh toàn cầu dự kiến đạt 139 tỷ đô la vào năm 2032, theo báo cáo của công ty nghiên cứu MarketsandMarkets. Quy mô thị trường càng lớn, mức độ thiệt hại tiềm tàng từ các lỗ hổng bảo mật càng cao.

Lỗi từ gốc rễ thiết kế

Woodward chỉ ra căn nguyên cụ thể: DJI để thông tin đăng nhập của một người dùng truy cập vào toàn bộ lớp thiết bị thay vì giới hạn trong phạm vi từng sản phẩm riêng lẻ. Giải pháp ông đề xuất rất đơn giản, buộc người dùng thiết lập mật khẩu cá nhân ngay lần đầu khởi động, đồng thời đảm bảo toàn bộ nhóm thiết kế, lập trình và kiểm thử phần mềm hiểu rõ cách kẻ tấn công có thể khai thác hệ thống, chứ không chỉ mỗi người viết một mô-đun rời rạc rồi ghép lại.

Ông đặt câu hỏi trực diện: "Phần mềm trên máy hút bụi tương tác với máy chủ như thế nào, tương tác với điện thoại người dùng ra sao?" Câu hỏi tưởng đơn giản ấy lại phơi bày lỗ hổng tư duy trong toàn bộ chuỗi phát triển sản phẩm.

Người dùng Việt Nam cần tỉnh táo

Thị trường Việt Nam hiện tiêu thụ mạnh các thiết bị gia dụng thông minh, từ máy hút bụi robot, camera an ninh đến khóa cửa điều khiển từ xa. Người tiêu dùng hầu hết mua vì sự tiện lợi và ít ai đặt câu hỏi về lớp bảo mật phía sau ứng dụng điều khiển.

Woodward nhắn nhủ rằng người dùng cần tự hỏi liệu lợi ích của thiết bị thông minh có xứng với rủi ro bị xâm phạm đời tư hay không. Câu nói của ông đáng để suy ngẫm: "Cứ vì làm được không có nghĩa là phải làm."

Vụ việc của Azdoufal kết thúc có hậu vì anh chọn báo cáo thay vì lợi dụng. Nhưng không phải lần nào người phát hiện lỗ hổng cũng hành xử như vậy. Khi chiếc máy hút bụi trong nhà bạn có thể trở thành mắt tai của người lạ, câu hỏi về bảo mật thiết bị thông minh không còn là chuyện của giới kỹ thuật nữa.