Sammy Azdoufal, lập trình viên ở Tây Ban Nha, sẽ nhận được 30.000 USD sau khi tìm ra lỗ hổng và kiểm soát được hàng nghìn robot hút bụi DJI.

Trong email được Azdoufal chia sẻ với The Verge hôm 7/3, DJI thông báo sẽ thưởng 30.000 USD cho lập trình viên này nhờ "một phát hiện đơn lẻ".

DJI sau đó xác nhận "trao thưởng" cho một nhà nghiên cứu an ninh giấu tên. Công ty cũng không nêu nguyên nhân dẫn tới phần thưởng, nhưng khẳng định đã xử lý lỗ hổng bảo mật từng được Azdoufal phát hiện và trình diễn.

"Chúng tôi có thể khẳng định vấn đề bảo mật với mã PIN đã được giải quyết từ cuối tháng 2", phát ngôn viên DJI Daisy Kong cho hay.

Robot hút bụi Romo của DJI. Ảnh: DJI

Trước đó, giữa tháng 2, Azdoufal sử dụng trợ lý lập trình Claude Code AI giải mã ứng dụng di động của DJI, nhằm viết app điều khiển robot hút bụi Romo bằng tay cầm PS5 để giải trí. Tuy nhiên, khi kết nối vào hệ thống máy chủ DJI, ứng dụng của Azdoufal lập tức nhận được phản hồi từ hàng nghìn thiết bị khác đang hoạt động trên thế giới.

Azdoufal có thể kết nối và điều khiển từ xa, xem video và âm thanh thu trực tiếp, cũng như cho robot vẽ bản đồ di chuyển và xây dựng sơ đồ mặt bằng đầy đủ của ngôi nhà. Anh cũng dễ dàng tra cứu địa chỉ IP của robot để ước tính vị trí địa lý của chúng.

Nguyên nhân bắt nguồn từ giao thức MQTT được DJI sử dụng để truyền tin nhắn từ thiết bị về máy chủ và nhận lệnh theo chiều ngược lại. Đây là giải pháp nhẹ, độ trễ thấp, lý tưởng cho quá trình điều khiển và nhận dữ liệu thời gian thực từ xa.

Tuy nhiên, mức độ bảo mật của DJI kém đến mức Azdoufal có thể truy cập toàn bộ dữ liệu bằng mã thông báo riêng tư được trích xuất từ robot của mình. Mã này được dùng để máy chủ xác nhận người dùng hợp lệ, nhưng lại cho phép tiếp cận thông tin của hàng nghìn robot trên máy chủ.

Azdoufal đã trực tiếp trình diễn kỹ thuật này với The Verge. Hàng nghìn robot nhanh chóng phản hồi, cứ 3 giây lại gửi một tin nhắn MQTT về máy chủ để thông báo số serial, phòng đang lau dọn, hình ảnh thu được từ camera, quãng đường di chuyển, thời điểm quay lại bộ sạc và những chướng ngại vật gặp trên đường. Tất cả đều hiển thị dưới dạng văn bản thuần, không được mã hóa.

Lập trình viên này khẳng định toàn bộ quy trình này diễn ra mà không cần can thiệp vào máy chủ DJI. "Tôi không vi phạm quy định nào, không vượt tường lửa hay bẻ khóa gì cả", anh nói.

9 phút sau khi bắt đầu, máy tính của Azdoufal đã kết nối được khoảng 6.700 robot hút bụi của DJI tại 24 quốc gia và thu thập hơn 100.000 tin nhắn cập nhật. Nếu tính cả trạm điện di động DJI Power, con số thiết bị truy cập đã vượt mức 10.000.

Khi đó DJI khẳng định luôn triển khai hệ thống mã hóa TLS, nhưng Azdoufal cho rằng nó chỉ bảo vệ kết nối giữa thiết bị và máy chủ, không che chắn được dữ liệu bên trong. Anh thêm rằng còn nhiều lỗ hổng chưa được vá, trong đó có một điểm yếu cho phép vượt qua mã hóa PIN để truy cập dữ liệu camera.

Điệp Anh (Theo The Verge, Tom's Hardware)