-
09/04/2020
-
127
-
1.613 bài viết
Chàng IT phát hiện lỗ hổng cho phép thâu tóm 7.000 robot hút bụi
Một lập trình viên tại Tây Ban Nha đã vô tình phát hiện lỗ hổng nghiêm trọng trong hệ thống robot hút bụi DJI Romo của DJI, cho phép anh truy cập dữ liệu từ khoảng 7.000 thiết bị trên toàn cầu.
Đây được coi là một lỗ hổng xuất phát từ cách hệ thống sử dụng MQTT - giao thức truyền dữ liệu nhẹ, hoạt động qua máy chủ trung gian (broker) cho phép các thiết bị IoT gửi và nhận thông tin theo cơ chế đăng ký chủ đề, tối ưu cho mạng yếu và thiết bị tài nguyên thấp
Theo phân tích kỹ thuật, mã xác thực (token) từ một thiết bị hợp lệ lại có thể đăng ký nhận toàn bộ chủ đề dữ liệu trên máy chủ. Điều này đồng nghĩa với việc chỉ cần một tài khoản hợp lệ, người dùng có thể theo dõi dữ liệu từ các robot khác mà không bị giới hạn theo từng thiết bị riêng lẻ.
Dữ liệu có thể truy cập bao gồm:
Đây được coi là một lỗ hổng xuất phát từ cách hệ thống sử dụng MQTT - giao thức truyền dữ liệu nhẹ, hoạt động qua máy chủ trung gian (broker) cho phép các thiết bị IoT gửi và nhận thông tin theo cơ chế đăng ký chủ đề, tối ưu cho mạng yếu và thiết bị tài nguyên thấp
Theo phân tích kỹ thuật, mã xác thực (token) từ một thiết bị hợp lệ lại có thể đăng ký nhận toàn bộ chủ đề dữ liệu trên máy chủ. Điều này đồng nghĩa với việc chỉ cần một tài khoản hợp lệ, người dùng có thể theo dõi dữ liệu từ các robot khác mà không bị giới hạn theo từng thiết bị riêng lẻ.
Dữ liệu có thể truy cập bao gồm:
- Hình ảnh và video từ camera robot
- Âm thanh thu qua microphone
- Bản đồ 2D không gian trong nhà
- Địa chỉ IP và thông tin trạng thái thiết bị
Điểm đáng chú ý là kết nối vẫn được mã hóa TLS, nhưng cơ chế phân quyền nội bộ lại thiếu kiểm soát chặt chẽ, tức là bảo vệ đường truyền tốt nhưng quản lý quyền truy cập chưa đúng nguyên tắc đặc quyền tối thiểu.
Sau khi được thông báo, DJI đã triển khai các bản vá máy chủ nhằm siết lại quyền truy cập và hạn chế khả năng đăng ký dữ liệu diện rộng. Hãng cho biết đã khắc phục lỗ hổng và điều chỉnh cơ chế xác thực.
Tuy chưa ghi nhận bằng chứng lạm dụng dữ liệu trên diện rộng, sự việc đặt ra câu hỏi lớn về bảo mật IoT và quyền riêng tư. Robot hút bụi không chỉ là thiết bị gia dụng mà còn có camera, micro và bản đồ hóa không gian sống. Nếu cấu hình sai, chúng có thể trở thành điểm rò rỉ dữ liệu nhạy cảm.
Đôi khi hiện đại mà cũng hại điện, cẩn trọng không thừa.
Sau khi được thông báo, DJI đã triển khai các bản vá máy chủ nhằm siết lại quyền truy cập và hạn chế khả năng đăng ký dữ liệu diện rộng. Hãng cho biết đã khắc phục lỗ hổng và điều chỉnh cơ chế xác thực.
Tuy chưa ghi nhận bằng chứng lạm dụng dữ liệu trên diện rộng, sự việc đặt ra câu hỏi lớn về bảo mật IoT và quyền riêng tư. Robot hút bụi không chỉ là thiết bị gia dụng mà còn có camera, micro và bản đồ hóa không gian sống. Nếu cấu hình sai, chúng có thể trở thành điểm rò rỉ dữ liệu nhạy cảm.
Đôi khi hiện đại mà cũng hại điện, cẩn trọng không thừa.
Theo Malwarebytes