Theo The Verge, vụ việc bị phát hiện khi Sammy Azdoufal, một kỹ sư phần mềm người Tây Ban Nha, cố gắng phân tích chiếc robot hút bụi DJI Romo mới mua để điều khiển bằng tay cầm chơi game của máy Playstation 5.
Tuy nhiên, khi ứng dụng tự chế của Azdoufal giao tiếp với máy chủ DJI, có tới 7.000 thiết bị trên toàn thế giới đã phản hồi và tiếp nhận lệnh điều khiển từ anh.
Azdoufal có thể xem và nghe thông qua nguồn cấp dữ liệu camera trực tiếp, đồng thời thu thập hơn 100.000 tin nhắn từ các thiết bị này.
Anh cũng có thể sử dụng Giao thức Internet (IP) của từng robot để xác định vị trí gần đúng. Kỹ sư này khẳng định không có ý định tấn công mạng và đã chủ động liên hệ với báo giới để cảnh báo. Phía DJI sau đó đã xác nhận khắc phục thành công sự cố.
Alan Woodward, Giáo sư khoa học máy tính tại Đại học Surrey (Anh), nhận định đối với nhiều nhà sản xuất, bảo mật chỉ là yếu tố phụ.
"Tư duy phát triển nhanh, phá vỡ rào cản để ưu tiên đổi mới, cạnh tranh về giá và ra mắt tính năng mới đã dẫn đến hệ lụy về bảo mật, một bài học vốn đã quá quen thuộc trong ngành phát triển phần mềm", ông Woodward phân tích.
Thị trường nhà thông minh dự kiến đạt quy mô 139 tỷ USD vào năm 2032. Dù mang lại sự tiện lợi, các thiết bị này cũng tạo điều kiện cho tin tặc xâm phạm quyền riêng tư.
Theo nghiên cứu từ Journal of Information Security and Applications, tin tặc từng giành quyền kiểm soát hệ thống chiếu sáng, khóa cửa, camera an ninh, thiết bị sưởi và màn hình theo dõi trẻ em.
Không chỉ DJI, nhiều hãng robot hút bụi như Ecovacs, Dreame hay Narwal cũng dính bê bối bảo mật, để tin tặc chiếm quyền điều khiển camera và đánh cắp dữ liệu.
Năm 2024, tin tặc đã chiếm quyền kiểm soát robot hút bụi Ecovacs để rượt đuổi thú cưng và phát ra những lời lẽ phân biệt chủng tộc.
Đến năm 2025, các cơ quan chính phủ Hàn Quốc báo cáo mẫu Dreame X50 Ultra chứa lỗ hổng cho phép tin tặc truy cập và xem nguồn cấp dữ liệu camera theo thời gian thực.
Tương tự, một thiết bị khác của Ecovacs và robot hút bụi Narwal cũng tạo kẽ hở để kẻ gian xem và đánh cắp hình ảnh lưu trên máy.
Trong vụ việc của DJI, Azdoufal có thể thao túng hệ thống do thông tin xác thực của thiết bị cá nhân cho phép anh truy cập chéo vào các máy khác. Theo Giáo sư Woodward, các nhà sản xuất có thể ngăn chặn điều này thông qua các biện pháp:
Bắt buộc người dùng tự thiết lập mật khẩu cá nhân trong lần sử dụng đầu tiên.
Đảm bảo đội ngũ thiết kế và lập trình hiểu rõ quy trình bảo mật tổng thể, đặc biệt là cách phần mềm trên thiết bị tương tác với máy chủ và điện thoại di động.
Về phía người tiêu dùng, chuyên gia khuyến cáo cần cân nhắc kỹ lưỡng giữa sự tiện lợi và rủi ro quyền riêng tư trước khi mua sắm.
Trên mạng xã hội X, DJI đã gửi lời cảm ơn Azdoufal vì những phản hồi giá trị. Vị kỹ sư, hiện là Trưởng bộ phận AI tại một tập đoàn du lịch và quản lý bất động sản, cũng hài hước chia sẻ rằng anh nhận được vô số lời mời tặng robot hút bụi miễn phí sau khi sự cố được công bố.
(Theo The Guardian, The Verge)
