วิศวกรอยากขับหุ่นดูดฝุ่นด้วย gamepad แต่ดันได้สิทธิ์คุม Romo อีก 7,000 เครื่อง

Sammy Azdoufal ตั้งใจแค่อยากควบคุมหุ่นยนต์ดูดฝุ่น DJI Romo ของตัวเองด้วย gamepad ของ PS5 เพราะคิดว่าเท่ดี แต่เมื่อเขาใช้ AI รุ่น Claude มาช่วยวิเคราะห์ทราฟฟิกระหว่างอุปกรณ์กับเซิร์ฟเวอร์ของผู้ผลิต กลับพบว่า token ที่ได้สามารถเข้าถึงอุปกรณ์ Romo ทั้งโลกได้ ไม่ใช่แค่อุปกรณ์ของเขา (อ้างอิงจาก The Verge)

ข้อมูลที่ Azdoufal เข้าถึงได้

แอปที่เขาสร้างด้วยความช่วยเหลือจาก Claude ดึงหมายเลขซีเรียลของหุ่นยนต์ที่ติดต่อกลับไปยังเซิร์ฟเวอร์ขึ้นมาได้เป็นจำนวนมาก—รวมแล้วประมาณ 7,000 เครื่องจากราวสองโหลประเทศ เขาสามารถ:

• เปิดกล้องและไมโครโฟนบนอุปกรณ์
• ดูสถานะการชาร์จ เส้นทางการทำความสะอาด และสิ่งกีดขวางที่เครื่องเจอ
• ประมาณตำแหน่งบ้านคร่าว ๆ จากที่อยู่ IP ของอุปกรณ์

DJI แก้ไขแล้ว แต่ยังมีช่องโหว่เหลือ

หลังถูกติดต่อโดย Azdoufal และสำนักข่าว DJI ออก patch ให้กับอุปกรณ์ที่เกี่ยวข้องภายในไม่กี่วัน โดยยอมรับว่ามี "a backend permission validation issue affecting MQTT-based communication between the device and the server" ซึ่งเปิดโอกาสให้เข้าถึงวิดีโอสดของอุปกรณ์ ROMO ในทางทฤษฎี อย่างไรก็ตาม Azdoufal ระบุว่าช่องโหว่บางส่วนยังไม่ได้รับการแก้ทันที และ DJI ให้คำมั่นว่าจะปิดช่องโหว่ที่เหลือภายในไม่กี่สัปดาห์

บริบท: ไม่ใช่ครั้งแรกที่ robovac ถูกใช้เป็นเครื่องสอดแนม

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่เครื่องดูดฝุ่นเชื่อมต่ออินเทอร์เน็ตถูกนำมาใช้สอดแนม — ในปี 2024 เคยมีกรณีผู้โจมตีใช้ช่องโหว่ของ Ecovacs เพื่อสอดแนม ด่าทอเจ้าของ และคุกคามสัตว์เลี้ยง เหตุการณ์เหล่านี้ย้ำว่าการอนุญาตให้อุปกรณ์ smart home เชื่อมต่ออินเทอร์เน็ตโดยไม่ตรวจสอบความปลอดภัยอย่างเข้มงวดมีความเสี่ยงสูง

ตอนจบ: เขาได้ขับด้วย gamepad จริงไหม?

ท้ายที่สุด Azdoufal ก็สามารถทำให้เครื่องดูดฝุ่นของตัวเองรับคำสั่งจาก gamepad ได้จริง — งานนี้อาจสนุกและคูลสำหรับเขา แต่ก็ทิ้งคำถามน่ากลัวไว้ให้ผู้ใช้ว่าอุปกรณ์ในบ้านควรจะต้องมีไมโครโฟนหรือกล้องจริงหรือไม่ และบริษัทต่าง ๆ ควรใส่ใจเรื่อง backend permissions มากกว่านี้

อ้างอิงเพิ่มเติม: The Verge