วิศวกรใช้ Claude วิเคราะห์ย้อนรอยการโจมตีของ DJI Romo หุ่นยนต์ทำความสะอาดของ DJI ควบคุมอุปกรณ์กว่า 7,000 เครื่องทั่วโลกโดยไม่ได้ตั้งใจ เผยข้อมูลส่วนตัวและความเป็นส่วนตัวในบ้านถูกเปิดเผย
DJI Romo หุ่นยนต์ทำความสะอาดของ DJI เกิดปัญหาด้านความปลอดภัย
แค่ต้องการควบคุมหุ่นยนต์ด้วยจอย PS5 กลับกลายเป็นควบคุมหุ่นยนต์กว่า 7,000 เครื่องทั่วโลก?
ในเดือนกุมภาพันธ์ปีนี้ วิศวกร Sammy Azdoufal เปิดเผยกับสื่อ The Verge ว่าเขาแค่ต้องการลองใช้จอย PS5 ควบคุมหุ่นยนต์ทำความสะอาด DJI Romo ที่ซื้อมาใหม่ และใช้ AI ช่วยเขียนโปรแกรม Claude Code เพื่อวิเคราะห์โปรโตคอลการสื่อสารระหว่างอุปกรณ์กับเซิร์ฟเวอร์คลาวด์ของ DJI แล้วจู่ๆ ก็พบว่าตนเองสามารถควบคุมหุ่นยนต์ได้มากกว่าที่คิด
เมื่อแอปที่เขาสร้างขึ้นเชื่อมต่อกับเซิร์ฟเวอร์ ก็พบว่าเขาควบคุมหุ่นยนต์ได้จริงๆ ไม่ใช่แค่เครื่องของตัวเอง แต่ยังสามารถควบคุมหุ่นยนต์ทำความสะอาดของ DJI กว่า 7,000 เครื่องทั่วโลกได้ด้วย
Azdoufal กล่าวว่า เขาสามารถควบคุมหุ่นยนต์เหล่านี้จากระยะไกล ดูภาพและเสียงสดจากกล้องวงจรปิด และแม้แต่ดูแผนผังชั้นของบ้านที่แสดงรูปร่างและขนาดของแต่ละห้องอย่างแม่นยำ
การทดสอบของสื่อยืนยันช่องโหว่ โดยใช้หมายเลขซีเรียลเพียงอย่างเดียวก็สามารถมองทะลุความเป็นส่วนตัวในบ้านได้
เพื่อทดสอบช่องโหว่ของ DJI Romo นักข่าวจาก The Verge จึงขอให้เพื่อนร่วมงาน Thomas Ricker ซึ่งเพิ่งเสร็จสิ้นการทดสอบ ส่งหมายเลขซีเรียล 14 หลักของหุ่นยนต์ DJI Romo มาให้ และ Azdoufal ก็สามารถค้นหาและระบุได้ว่าหุ่นยนต์กำลังทำความสะอาดห้องนั่งเล่น และแบตเตอรี่เหลือ 80%
ภาพจาก: เว็บไซต์ทางการของ DJI
ภายในไม่กี่นาที หุ่นยนต์ที่อยู่ไกลอีกประเทศก็สามารถสร้างและส่งแผนผังบ้านที่แม่นยำกลับมาให้ได้ Azdoufal แสดงให้ดูว่าเขาสามารถข้ามผ่านรหัสผ่านความปลอดภัยและเปิดดูภาพสดของอุปกรณ์ได้โดยตรง
เขาย้ำว่า เขาไม่ได้แฮกเซิร์ฟเวอร์ของ DJI แต่เพียงแค่ดึงข้อมูลรับรองส่วนตัวของอุปกรณ์ออกมา เซิร์ฟเวอร์จึงส่งข้อมูลของผู้ใช้รายอื่นหลายพันรายมาให้เขา และข้อมูลทั้งหมดเป็นข้อความธรรมดา
DJI ยอมรับปัญหาการตรวจสอบสิทธิ์และกล่าวว่าปรับปรุงแล้ว
DJI เป็นบริษัทผู้ผลิตโดรนและเทคโนโลยีจากจีน ซึ่งมีผลิตภัณฑ์เช่น โดรน กล้องถ่ายภาพ และหุ่นยนต์ทำความสะอาด ครองส่วนแบ่งตลาดในกลุ่มอุปกรณ์พลเรือนและเชิงพาณิชย์สูงถึง 70%-83%
ภาพจาก: เว็บไซต์ทางการของ DJI
จากเหตุการณ์ด้านความปลอดภัยที่สื่อเปิดเผย โฆษกของ DJI Daisy Kong ออกแถลงการณ์ยอมรับว่าช่องโหว่เกี่ยวข้องกับปัญหาการตรวจสอบสิทธิ์ในกระบวนการสื่อสารระหว่างอุปกรณ์กับเซิร์ฟเวอร์ ซึ่งบริษัทพบช่องโหว่นี้ในช่วงปลายเดือนมกราคม และได้ปล่อยอัปเดตสองครั้งในต้นเดือนกุมภาพันธ์เพื่อแก้ไข
DJI ย้ำว่าปัญหานี้ในทางทฤษฎีอาจทำให้ผู้อื่นเข้าถึงภาพสดของหุ่นยนต์ได้โดยไม่ได้รับอนุญาต แต่ในความเป็นจริงเป็นเหตุการณ์ที่เกิดขึ้นได้ยากมาก และส่วนใหญ่เป็นผลจากการทดสอบของนักวิจัยด้านความปลอดภัยเอง และระบุว่าการสื่อสารของบริษัทใช้การเข้ารหัส TLS ทั้งหมด
อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Kevin Finisterre ชี้ว่า แม้การส่งข้อมูลของ DJI จะเข้ารหัสแล้วก็ตาม หากเซิร์ฟเวอร์ขาดการควบคุมการเข้าถึงที่เหมาะสม บุคลากรภายในหรือไคลเอนต์ที่ได้รับการรับรองก็สามารถอ่านข้อมูลได้ง่ายดาย
ความกังวลด้านความปลอดภัยของของเล่น AI จากจีนก็ยังคงระบาด
นอกจากหุ่นยนต์ทำความสะอาดของ DJI แล้ว สื่อยังเปิดเผยปัญหาด้านความปลอดภัยและการศึกษาเกี่ยวกับของเล่น AI จากจีนอีกด้วย
ตามรายงานของ Wired เมื่อปลายเดือนมกราคม นักวิจัยด้านความปลอดภัย Joseph Thacker และ Joel Margolis พบว่า ระบบหลังของบริษัทของเล่น AI จีน Bondu ขาดการป้องกัน ทำให้ข้อมูลส่วนตัวของเด็กกว่า 50,000 รายและการสนทนาถูกเปิดเผย
นอกจากนี้ NBC News ยังรายงานว่า หุ่นตุ๊กตา Miiloo ของบริษัท Miriat จากจีน จะปลูกฝังทัศนคติทางการเมือง เช่น การบอกว่า “ไต้หวันเป็นส่วนหนึ่งของจีน”
องค์กรวิจัยผลประโยชน์สาธารณะของสหรัฐฯ ก็เตือนว่าของเล่น AI ขาดกลไกกรองเนื้อหา ซึ่งเป็นเหตุให้คณะกรรมาธิการพิเศษด้านจีนในสภาคองเกรสสหรัฐฯ ส่งจดหมายเตือนกระทรวงศึกษาธิการเกี่ยวกับความเสี่ยงด้านข้อมูลส่วนตัวและความมั่นคงของประเทศ
อ่านรายละเอียดเพิ่มเติม:
ยังจะซื้อของเล่น AI อยู่ไหม? Bondu เปิดเผยข้อมูลส่วนตัวเด็กกว่า 5 หมื่นราย Miiloo ก็ปลูกฝัง: ไต้หวันเป็นส่วนหนึ่งของจีน
