- วิศวกรซอฟต์แวร์คนหนึ่งพยายามควบคุมหุ่นยนต์ดูดฝุ่น DJI ด้วยเกมคอนโทรลเลอร์ แต่กลับได้ สิทธิ์เข้าถึงอุปกรณ์ 7,000 เครื่อง
- ระหว่างพัฒนาแอปของตัวเอง เขาใช้ ผู้ช่วยเขียนโค้ด AI เพื่อทำวิศวกรรมย้อนกลับวิธีสื่อสารกับคลาวด์ และพบ ช่องโหว่ด้านความปลอดภัย ที่ทำให้ข้อมูลรับรองเดียวกันใช้กับอุปกรณ์เครื่องอื่นได้ด้วย
- จากจุดนี้ ข้อมูลอ่อนไหวอย่าง ภาพจากกล้องแบบเรียลไทม์ เสียงจากไมโครโฟน และข้อมูลแผนที่ อาจถูกเปิดเผยจากอุปกรณ์ใน 24 ประเทศ
- เขาไม่ได้ใช้ประโยชน์ในทางที่ผิด แต่ แจ้งเรื่องให้ The Verge และ DJI ระบุว่าได้ปล่อยแพตช์ทันทีและแก้ปัญหาเสร็จสิ้นแล้ว
- เหตุการณ์นี้ถูกจับตามองในฐานะกรณีตัวอย่างที่เตือนถึง ช่องโหว่ความปลอดภัยของอุปกรณ์สมาร์ตโฮม และ การขยายความเสี่ยงที่ AI tools อาจก่อขึ้น
ช่องโหว่ความปลอดภัยขนาดใหญ่ที่พบในหุ่นยนต์ดูดฝุ่น DJI
- วิศวกร Sammy Azdoufal พบปัญหาระหว่างพัฒนาแอปเพื่อควบคุม หุ่นยนต์ดูดฝุ่น DJI Romo ของตัวเองด้วยเกมคอนโทรลเลอร์
- เขาใช้ AI coding assistant วิเคราะห์การสื่อสารระหว่างหุ่นยนต์กับเซิร์ฟเวอร์คลาวด์ของ DJI
- เซิร์ฟเวอร์ไม่ได้ตรวจสอบยืนยันเฉพาะตัวอุปกรณ์เดียว แต่กลับ ให้สิทธิ์เข้าถึงเดียวกันกับอุปกรณ์อีกหลายพันเครื่อง
- ผลคือเขาสามารถเข้าถึงกล้อง ไมโครโฟน แผนที่ และข้อมูลสถานะของ หุ่นยนต์ดูดฝุ่นมากกว่า 7,000 เครื่อง
- จาก IP address ยังพอระบุตำแหน่งโดยประมาณของอุปกรณ์เหล่านั้นได้
- เขาอธิบายว่านี่ไม่ใช่ “การแฮ็ก” แต่เป็น ปัญหาความปลอดภัยที่ค้นพบโดยบังเอิญ
การรับมือของ DJI และแพตช์ความปลอดภัย
- DJI ระบุว่าในการตรวจสอบภายในช่วงปลายเดือนมกราคม ได้ยืนยัน ช่องโหว่ที่เกี่ยวข้องกับ DJI Home และเริ่มขั้นตอนแก้ไขทันที
- แพตช์แรกปล่อยเมื่อ 8 กุมภาพันธ์ และมีอัปเดตตามมาในวันที่ 10 กุมภาพันธ์แบบอัตโนมัติ
- ปัญหาได้รับการแก้ไขเรียบร้อยโดยผู้ใช้ไม่ต้องดำเนินการใด ๆ
- DJI ระบุว่าจะเดินหน้ามาตรการ เสริมความปลอดภัย เพิ่มเติมต่อไป แต่ไม่ได้เปิดเผยรายละเอียด
- Azdoufal แจ้งเรื่องนี้กับ The Verge เพื่อให้ DJI ตอบสนองได้อย่างรวดเร็ว
ความกังวลเรื่องความปลอดภัยของอุปกรณ์สมาร์ตโฮมขยายวง
- เหตุการณ์นี้แสดงให้เห็นว่า หุ่นยนต์ที่เชื่อมต่ออินเทอร์เน็ตและอุปกรณ์สมาร์ตโฮม อาจเป็นเป้าหมายที่ดึงดูดใจสำหรับแฮ็กเกอร์
- ช่วงหลังมานี้ ความกังวลด้านความเป็นส่วนตัวของผู้บริโภคเพิ่มขึ้นจากกรณีอย่าง ข้อถกเถียงเรื่องโฆษณาของ Ring camera และ กรณีกู้คืนวิดีโอของ Google Nest
- ในสหรัฐฯ ก็มีกรณีที่ผลิตภัณฑ์บางอย่างถูกสั่งห้ามด้วยเหตุผลเรื่อง ความเสี่ยงด้านความปลอดภัยของผลิตภัณฑ์เทคโนโลยีจากจีน เช่น DJI
การขยายตัวของสมาร์ตโฮมกับความย้อนแย้งของความเป็นส่วนตัว
- ณ ปี 2020 มี 54 ล้านครัวเรือนในสหรัฐฯ ที่มีอุปกรณ์สมาร์ตโฮม
- ผู้ใช้ที่ติดตั้งแล้วมักมีแนวโน้มซื้ออุปกรณ์เพิ่ม
- บริษัทอย่าง Tesla, Figure, 1X กำลังพัฒนา หุ่นยนต์ฮิวแมนนอยด์ สำหรับใช้ในบ้าน และบางส่วนก็เริ่มวางขายแล้ว
- หุ่นยนต์เหล่านี้จำเป็นต้องเก็บข้อมูลรายละเอียดภายในบ้าน จึงทำให้ ความเสี่ยงการเปิดเผยข้อมูลส่วนบุคคล สูงขึ้น
โจทย์เรื่องสมดุลระหว่างความก้าวหน้าทางเทคโนโลยีกับความปลอดภัย
- เครื่องมือเขียนโค้ดที่ใช้ AI ช่วยเพิ่มประสิทธิภาพการพัฒนา แต่ขณะเดียวกันก็ เพิ่มโอกาสให้ผู้ที่ไม่ใช่ผู้เชี่ยวชาญสามารถนำช่องโหว่ไปใช้ในทางที่ผิดได้
- กรณีนี้จึงถูกมองว่าเป็นเหตุการณ์ที่ย้ำเตือนถึง ความสำคัญของการจัดการความปลอดภัยในสภาพแวดล้อมที่ AI และ IoT หลอมรวมกัน
- ท้ายที่สุด Azdoufal ประสบความสำเร็จในเป้าหมายเดิมคือ ควบคุมหุ่นยนต์ด้วยเกมคอนโทรลเลอร์ แต่ในกระบวนการนั้นก็ได้เผยให้เห็น ช่องโหว่ของความปลอดภัยสมาร์ตโฮม
1 ความคิดเห็น
ความเห็นจาก Hacker News
เขาพบว่าสามารถเข้าถึงกล้อง ไมโครโฟน แผนที่ และข้อมูลสถานะของหุ่นยนต์ดูดฝุ่นราว 7,000 เครื่องใน 24 ประเทศทั่วโลกได้ ด้วย ข้อมูลรับรอง สำหรับควบคุมอุปกรณ์ของตัวเอง
เมื่อปีที่แล้วฉันเคยพบและเปิดเผยปัญหาเดียวกันนี้ใน เทอร์โมสแตตอัจฉริยะ Mysa ซึ่งสามารถควบคุมอุปกรณ์ทั้งหมดได้ด้วยข้อมูลรับรองชุดเดียวกัน
รายละเอียดอยู่ในกระทู้ HN ก่อนหน้า
แค่นึกว่าเครื่องดูดฝุ่นราคาถูกอาจแอบส่องในบ้านก็รู้สึกน่ากลัวแล้ว
มินิสปลิต Haier ที่บ้านฉันก็เชื่อมต่อผ่าน WiFi ด้วยแอป GE Home และส่งข้อมูลไปที่ GE Cloud
พอลองใช้ครั้งเดียวก็ เปลี่ยนรหัสผ่าน WiFi แล้วไม่เชื่อมต่ออีกเลย
ต่อไปกะจะควบคุมเองด้วย ESP32, เซ็นเซอร์ และตัวรับส่ง IR
ถ้าระบบแบบนี้มีช่องโหว่ ก็พอจะนึกภาพได้ว่าผู้โจมตีอาจทำให้เกิด ความต้องการใช้ไฟฟ้าพุ่งสูง ได้
ตอนนี้รู้สึกเหมือนอยู่ในภาวะ ยอมทิ้งความเป็นส่วนตัว ไปแล้ว
ผู้คนยอมรับกันแบบไม่รู้สึกอะไรเลยว่ากล้องในบ้านจะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก
คนส่วนน้อยที่ยังใส่ใจก็ถูกเสียงส่วนใหญ่กลบไป
สุดท้ายเลยกลายเป็นระบบที่มีแต่คนกังวลเรื่องความเป็นส่วนตัวเท่านั้นที่เสียเปรียบ
ฉันตั้ง Roomba ให้ทำงานทุกวันตอน 5 โมงเย็น แต่หลายครั้งมันกลับ ตื่นเองตอน 1 ทุ่มแล้วเข้าไปในห้องนอน ยืนอยู่ 5-10 นาที ก่อนจะกลับออกมา
ไม่รู้เหตุผลเลย
ฟังดูเหมือนมันไปยืนข้างเตียงเฉยๆ แล้วก็กลับจริงๆ
มีช่วงเวลาหนึ่งชั่วคราวที่ชายคนหนึ่ง ดูดเข้าไปได้มากกว่ามนุษย์คนใดในประวัติศาสตร์
(เป็นมุกตลกที่เล่นกับเหตุหุ่นยนต์ดูดฝุ่น)
ฉันชอบ อุปกรณ์ที่ไม่ต่ออินเทอร์เน็ต
ฟังก์ชันพื้นฐานควรทำงานแบบออฟไลน์ได้อย่างเสถียร และอินเทอร์เน็ตควรมีไว้ให้เฉพาะฟีเจอร์เสริมผ่าน โปรโตคอลความปลอดภัยแบบเปิด เท่านั้น
แบบนั้นถึงจะนำไปทำเองได้ด้วย
เมื่อ 10 ปีก่อนที่สตาร์ตอัปแห่งหนึ่ง เราใช้ผู้ให้บริการ 401k แล้วพอฉันล็อกอินกลับเห็น ข้อมูลบัญชีของเพื่อนร่วมงาน
การแยกบัญชีพังแบบหมดสภาพเลย
ตอนนั้นตกใจมาก แต่ก็ปล่อยผ่านเงียบๆ เพื่อไม่ให้เรื่องส่วนตัวของคนอื่นถูกเปิดเผย
พอมาคิดตอนนี้น่าจะยกประเด็นให้จริงจังกว่านั้น
แต่ถ้าอีกฝ่ายตอบสนองแบบขอไปที ตอนนั้นฉันคิดว่า ควรแจ้งปัญหาต่อสาธารณะ ได้เหมือนกัน
ด้วยความก้าวหน้าทางเทคโนโลยี ตอนนี้มุกของ Steven Wright ที่ว่า
“ฉันเปิดสวิตช์ที่ไม่มีหน้าที่อะไร แล้วก็มีโทรศัพท์โทรมาจากเยอรมนี”
กลายเป็น ความจริงในระดับอินเทอร์เน็ต ไปแล้ว
บทความต้นฉบับ: The Verge - ช่องโหว่แฮ็ก DJI Romo
การถกเถียงบน HN ที่เกี่ยวข้อง: ลิงก์
ฉันตั้งใจซื้อรุ่นที่ ไม่มีกล้องหรือไมโครโฟน
ฉันไม่ได้ตรวจสอบเองหรอก แต่เลือกเพราะเป็นแบรนด์จีนเจ้าเดียวที่พูดถึง data locality และความเป็นส่วนตัว
แน่นอนว่ารู้ดีว่ามันอาจเปลี่ยนได้ทุกเมื่อผ่านเฟิร์มแวร์อัปเดต
ถึงอย่างนั้นก็ยังพอใจ เพราะ คุณภาพเมื่อเทียบกับราคา ดีมาก
ถึงจะดูไม่มีประสิทธิภาพ แต่ประสิทธิภาพการทำความสะอาดจริงค่อนข้างดีทีเดียว
ถ้าใครพอมีทักษะทางเทคนิคอยู่บ้าง ฉันคิดว่าควรซื้อเครื่องดูดฝุ่นที่รองรับ Valetudo แล้วเปลี่ยนซอฟต์แวร์เดิมออก
เว็บไซต์ทางการของ Valetudo
ฉันมีทักษะทางเทคนิคก็จริง แต่เหตุผลที่ใช้หุ่นยนต์ดูดฝุ่นคือเพื่อประหยัดเวลาไปทำ สิ่งที่มีค่ากว่า
Valetudo ไม่ตอบโจทย์นั้น
เป็นโปรเจ็กต์ที่ยอดเยี่ยม แต่ไม่ใช่ตัวเลือกที่ดีที่สุดสำหรับทุกคน