Người đàn ông vô tình giành được quyền điều khiển 7.000 robot hút bụi

 (popsci.com)
5 điểm bởi GN⁺ 2026-02-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một kỹ sư phần mềm khi đang cố điều khiển robot hút bụi DJI bằng tay cầm chơi game đã có được quyền truy cập vào 7.000 thiết bị
  • Trong quá trình phát triển ứng dụng riêng và dùng trợ lý lập trình AI để phân tích ngược cách thức giao tiếp với đám mây, anh đã phát hiện lỗ hổng bảo mật khiến cùng một thông tin xác thực có thể áp dụng cho nhiều thiết bị khác
  • Qua đó, các thông tin nhạy cảm như video camera thời gian thực, âm thanh microphone, dữ liệu bản đồ có thể bị lộ từ các thiết bị ở 24 quốc gia
  • Thay vì lạm dụng, anh đã báo cho The Verge, và DJI cho biết đã ngay lập tức phát hành bản vá và hoàn tất khắc phục sự cố
  • Vụ việc được chú ý như một ví dụ cảnh báo về lỗ hổng bảo mật của thiết bị nhà thông minhsự khuếch đại rủi ro mà công cụ AI có thể gây ra

Lỗ hổng bảo mật quy mô lớn được phát hiện trên robot hút bụi DJI

  • Kỹ sư Sammy Azdoufal phát hiện vấn đề khi phát triển ứng dụng để điều khiển robot hút bụi DJI Romo của mình bằng tay cầm chơi game
    • Sử dụng trợ lý lập trình AI để phân tích giao tiếp giữa robot và máy chủ đám mây của DJI
    • Máy chủ không chỉ xác minh xác thực của một thiết bị đơn lẻ mà còn cấp cùng quyền truy cập cho hàng nghìn thiết bị khác
  • Kết quả là anh có thể truy cập camera, microphone, bản đồ và dữ liệu trạng thái của hơn 7.000 robot hút bụi
    • Thông qua địa chỉ IP, anh cũng có thể xác định vị trí gần đúng của các thiết bị
    • Anh giải thích đây không phải là “hack” mà là một vấn đề bảo mật được phát hiện tình cờ

Phản ứng của DJI và bản vá bảo mật

  • DJI cho biết trong đợt rà soát nội bộ vào cuối tháng 1, họ đã xác nhận lỗ hổng liên quan đến DJI Home và ngay lập tức bắt đầu quy trình khắc phục
    • Bản vá đầu tiên được phát hành ngày 8/2, bản cập nhật tiếp theo được tự động phân phối ngày 10/2
    • Vấn đề đã được xử lý xong mà không cần người dùng thao tác
  • DJI cho biết sẽ tiếp tục triển khai các biện pháp tăng cường bảo mật bổ sung, nhưng không công bố chi tiết cụ thể
  • Azdoufal đã báo cho The Verge về vấn đề này, giúp DJI phản ứng nhanh chóng

Lo ngại gia tăng về bảo mật thiết bị nhà thông minh

  • Vụ việc lần này cho thấy robot kết nối internet và các thiết bị nhà thông minh có thể trở thành mục tiêu hấp dẫn với tin tặc
  • Gần đây, nỗi lo về quyền riêng tư của người tiêu dùng gia tăng do các sự việc như tranh cãi quảng cáo của camera Ringtrường hợp khôi phục video trên Google Nest
  • Tại Mỹ, cũng đã có những trường hợp một số sản phẩm bị cấm với lý do rủi ro bảo mật của các sản phẩm công nghệ sản xuất tại Trung Quốc như DJI

Sự phổ biến của smart home và nghịch lý quyền riêng tư

  • Tính đến năm 2020, 54 triệu hộ gia đình tại Mỹ sở hữu thiết bị nhà thông minh
    • Người đã lắp đặt một lần thường có xu hướng mua thêm thiết bị khác
  • Các công ty như Tesla, Figure, 1X đang phát triển robot hình người dùng trong gia đình, và một số sản phẩm đã được bán ra thị trường
    • Những robot như vậy cần thu thập thông tin chi tiết bên trong ngôi nhà nên rủi ro lộ dữ liệu cá nhân càng lớn

Bài toán cân bằng giữa tiến bộ công nghệ và bảo mật

  • Các công cụ lập trình dựa trên AI giúp tăng hiệu suất phát triển, nhưng đồng thời cũng làm tăng khả năng ngay cả người không chuyên cũng có thể khai thác lỗ hổng
  • Vụ việc này được đánh giá là lời nhắc nhở về tầm quan trọng của quản lý bảo mật trong môi trường hội tụ AI·IoT
  • Cuối cùng, Azdoufal đã thành công với mục tiêu ban đầu là điều khiển robot bằng tay cầm chơi game, nhưng trong quá trình đó cũng phơi bày lỗ hổng trong bảo mật nhà thông minh

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-23
Ý kiến trên Hacker News

  • Anh ấy phát hiện ra rằng với thông tin xác thực dùng để điều khiển thiết bị của chính mình, anh có thể truy cập camera, micro, bản đồ và dữ liệu trạng thái của khoảng 7.000 robot hút bụi tại 24 quốc gia trên toàn thế giới
    Năm ngoái tôi đã phát hiện và công bố đúng vấn đề này trên Mysa smart thermostat, nơi cùng một thông tin xác thực có thể điều khiển mọi thiết bị
    Nội dung liên quan đã được tổng hợp trong thread HN trước đó

    • Những thiết bị này về cơ bản có thể trở thành công cụ gián điệp hoàn hảo
      Ý nghĩ một chiếc máy hút bụi giá rẻ có thể theo dõi bên trong nhà thật đáng sợ
    • Câu chuyện về smart thermostat đặc biệt đáng sợ
      Bộ mini-split Haier ở nhà tôi cũng kết nối WiFi qua ứng dụng GE Home và gửi dữ liệu lên GE Cloud
      Tôi dùng thử một lần rồi đổi mật khẩu WiFi ngay và không kết nối lại nữa
      Về sau tôi định tự điều khiển bằng ESP32, cảm biến và bộ phát/thu IR
      Nếu các hệ thống kiểu này có lỗ hổng, tôi nghĩ kẻ tấn công thậm chí có thể gây ra đột biến nhu cầu điện năng
    • Tôi tự hỏi liệu trong quá trình sản xuất họ có cắt giảm chi phí bằng cách không cài khóa riêng cho từng thiết bị hay không

  • Giờ tôi cảm thấy như chúng ta đang ở trạng thái từ bỏ quyền riêng tư
    Mọi người dường như thản nhiên chấp nhận việc camera trong nhà kết nối với máy chủ bên ngoài
    Nhóm nhỏ quan tâm đến chuyện này bị chìm nghỉm trước số đông
    Cuối cùng chỉ những người lo về quyền riêng tư là chịu thiệt

  • Tôi đã cài Roomba chạy mỗi ngày lúc 5 giờ chiều, nhưng nhiều lần nó lại tự thức dậy lúc 7 giờ, đi vào phòng ngủ và ở đó 5–10 phút rồi quay về
    Tôi hoàn toàn không biết vì sao

    • Không biết nó có thật sự đang dọn gì không
      Nghe đúng kiểu nó chỉ đứng cạnh giường một lúc rồi quay lại

  • Đã từng có một khoảnh khắc khi một người hút nhiều thứ hơn bất kỳ ai trong lịch sử loài người
    (cách nói đùa về vụ robot hút bụi)

  • Tôi thích các thiết bị không có kết nối Internet
    Chức năng cơ bản nên hoạt động ổn định ngay cả khi offline, còn Internet lý tưởng nhất chỉ nên cung cấp tính năng bổ sung thông qua giao thức bảo mật mở
    Như vậy người dùng cũng có thể tự triển khai

  • 10 năm trước ở một startup, chúng tôi dùng một nhà cung cấp 401k, và khi đăng nhập tôi đã thấy thông tin tài khoản của đồng nghiệp
    Mức độ cô lập tài khoản gần như hỏng hoàn toàn
    Tôi rất bối rối nhưng đã im lặng để tránh làm lộ thêm đời tư của mọi người
    Nghĩ lại thì đáng ra tôi nên lên tiếng mạnh mẽ hơn

    • Bình thường tôi cũng cố giữ sự thận trọng
      Nhưng nếu bên kia phản hồi hời hợt, thì tôi nghĩ lúc đó việc công khai vấn đề là hoàn toàn đáng làm

  • Nhờ sự phát triển của công nghệ, câu đùa của Steven Wright giờ gần như đã trở thành hiện thực ở quy mô Internet:
    “Tôi bật một công tắc chẳng làm gì cả, rồi nhận được cuộc gọi từ Đức”

  • Bài gốc: The Verge - lỗ hổng hack DJI Romo
    Thảo luận HN liên quan: liên kết

  • Tôi cố ý mua mẫu không có camera hoặc micro

    • Eufy của tôi tuyên bố mọi xử lý đều được thực hiện cục bộ
      Tôi chưa tự kiểm chứng, nhưng đó là thương hiệu Trung Quốc duy nhất tôi thấy nhắc đến tính địa phương của dữ liệu và quyền riêng tư nên tôi đã chọn
      Tất nhiên tôi biết điều đó có thể thay đổi bất kỳ lúc nào qua bản cập nhật firmware
      Dù vậy tôi vẫn hài lòng vì chất lượng so với giá tiền khá tốt
    • Tôi nghĩ kiểu di chuyển ngẫu nhiên của Roomba đời cũ đã bị đánh giá thấp
      Trông thì có vẻ kém hiệu quả nhưng hiệu năng dọn dẹp thực tế lại khá ổn
    • Tôi tò mò không biết trong số các mẫu không camera như vậy có mẫu nào có tính năng tự đổ rác hay không
    • Tôi muốn hỏi liệu có cách nào xác minh rằng nó thực sự không có camera hay micro không
    • Điện thoại thông minh cũng có micro, vậy điều đó có được xem là ổn không?

  • Nếu có chút hiểu biết kỹ thuật, tôi nghĩ nên mua robot hút bụi tương thích Valetudo và thay phần mềm mặc định
    Trang chính thức của Valetudo

    • Nhưng sau khi xem trang “Why Not Valetudo” trên website đó, tôi đã đổi ý
      Tôi có hiểu biết kỹ thuật, nhưng lý do tôi dùng robot hút bụi là để tiết kiệm thời gian làm những việc có giá trị hơn
      Valetudo không phù hợp với mục tiêu đó
      Đây là một dự án tuyệt vời, nhưng không phải lựa chọn tốt nhất cho tất cả mọi người
    • Tôi tự hỏi liệu Claude có thể giúp thiết lập cho những người không rành công nghệ hay không