Tailandês News

ข้อบกพร่องด้านความปลอดภัยเผยให้เห็นกล้องและแผนที่ของหุ่นยนต์ดูดฝุ่น DJI Romo กว่า 7,000 เครื่องใน 24 ประเทศ

โดย Bruna 3 มีนาคม 2026 1 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Robô aspirador DJI Rom - Robert Way/ Shutterstock.com
Foto: Robô aspirador DJI Rom - Robert Way/ Shutterstock.com

วิศวกรซอฟต์แวร์ชาวสเปนค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในเครื่องดูดฝุ่นหุ่นยนต์ DJI Romo ซึ่งเปิดตัวในเดือนกุมภาพันธ์ 2569 โดยบริษัทจีน Sammy Azdoufal ตั้งใจจะสร้างแอปพลิเคชันแบบกำหนดเองเพื่อควบคุมอุปกรณ์ของเขาเองด้วยคอนโทรลเลอร์ PlayStation 5 ในระหว่างการทดลอง เขาเข้าถึงข้อมูลจากประมาณ 7,000 หน่วยในอย่างน้อย 24 ประเทศ ข้อบกพร่องดังกล่าวทำให้สามารถรับชมฟีดกล้องถ่ายทอดสด เสียงไมโครโฟน แผนผังภายในบ้าน และสถานที่โดยประมาณตามที่อยู่ IP

เหตุการณ์ดังกล่าวเกิดขึ้นเนื่องจากโทเค็นการรับรองความถูกต้องที่ดึงมาจากอุปกรณ์ของ Azdoufal ทำหน้าที่เป็นคีย์หลักบนเซิร์ฟเวอร์ของ DJI เขาไม่จำเป็นต้องเจาะเข้าไปในระบบหรือใช้กำลังดุร้าย โปรโตคอล MQTT ที่ใช้สำหรับการสื่อสารระหว่างหุ่นยนต์กับคลาวด์ ไม่ได้ตรวจสอบสิทธิ์อนุญาตต่ออุปกรณ์อย่างถูกต้อง ส่งผลให้เกิดการเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้หลายพันรายโดยไม่ได้รับอนุญาต

DJI ยืนยันการมีอยู่ของปัญหาเมื่อมีการแจ้งให้ทราบ บริษัทดำเนินการแก้ไขในการอัปเดตอัตโนมัติสองครั้งในช่วงต้นเดือนกุมภาพันธ์ 2026 การอัปเดตเหล่านี้จำกัดการเข้าถึงที่ไม่ได้รับอนุญาต และนำไปใช้โดยไม่จำเป็นต้องได้รับการแทรกแซงจากเจ้าของอุปกรณ์ ข้อบกพร่องดังกล่าวส่งผลต่อการสื่อสารที่ใช้ MQTT ระหว่างอุปกรณ์และเซิร์ฟเวอร์คลาวด์เป็นหลัก

การค้นพบระหว่างการทดลองที่บ้าน

Sammy Azdoufal ใช้เครื่องมือ Claude AI ของ Anthropic เพื่อวิเคราะห์โปรโตคอลการสื่อสารของ Romo เขาพัฒนาไคลเอนต์แบบกำหนดเองที่จับคู่คำสั่งคอนโทรลเลอร์ PS5 กับการเคลื่อนไหวของหุ่นยนต์ เป้าหมายคือทำให้ปฏิบัติการสนุกยิ่งขึ้น คล้ายกับเกม

ในระหว่างการทดสอบ แอปพลิเคชันจะเชื่อมต่อกับเซิร์ฟเวอร์ DJI แทนที่จะรับข้อมูลจาก Romo ของคุณเพียงอย่างเดียว กลับได้รับข้อมูลจากอุปกรณ์อื่นๆ นับพันเครื่อง Azdoufal สามารถควบคุมอุปกรณ์จากระยะไกล ตรวจสอบระดับแบตเตอรี่ และสังเกตสิ่งที่กล้องบันทึกได้แบบเรียลไทม์

เขาสาธิตการเข้าถึงแบบเรียลไทม์สำหรับนักข่าว ในเวลาเพียงไม่กี่นาที ระบบจะรวบรวมข้อความการวัดและส่งข้อมูลทางไกลมากกว่า 100,000 ข้อความที่ส่งโดยหุ่นยนต์ทุกๆ สองสามวินาที ข้อมูลรวมถึงสถานะการทำความสะอาด สิ่งกีดขวางที่ตรวจพบ และแผนที่ที่สร้างโดยเซ็นเซอร์

ช่องโหว่ทางเทคนิคทำงานอย่างไร

โปรโตคอล MQTT ช่วยให้อุปกรณ์เผยแพร่และสมัครรับหัวข้อข้อความได้อย่างง่ายดาย ในกรณีของ Romo อุปกรณ์จะส่งแพ็กเก็ตคงที่พร้อมหมายเลขซีเรียล สถานะ และข้อมูลภาพ เซิร์ฟเวอร์ยอมรับการสมัครสมาชิกแบบกว้าง ๆ โดยไม่มีข้อจำกัดต่อโทเค็นแต่ละรายการ

การรับรองความถูกต้องไม่ได้ผูกโทเค็นเข้ากับอุปกรณ์เฉพาะ โทเค็นที่ถูกต้องใด ๆ ที่ได้รับการเข้าถึงในวงกว้าง สิ่งนี้ไม่เพียงเปิดเผยภาพและเสียงเท่านั้น แต่ยังรวมถึงแผนผังชั้นของบ้านโดยละเอียดด้วย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชี้ให้เห็นว่าข้อบกพร่องที่คล้ายกันเกิดขึ้นในอุปกรณ์ IoT เมื่อการควบคุมการเข้าถึงระบบคลาวด์ไม่เพียงพอ เหตุการณ์ดังกล่าวตอกย้ำความเสี่ยงในผลิตภัณฑ์ที่เชื่อมต่อซึ่งสร้างแผนผังสภาพแวดล้อมภายในอาคาร

Robo aspirador
หุ่นยนต์ดูดฝุ่น – Yuganov Konstantin/shutterstock.com

การตอบสนองของ DJI และการแก้ไขที่นำไปใช้

DJI เริ่มการแก้ไขภายในในเดือนมกราคม พ.ศ. 2569 หลังจากติดต่อกับ Azdoufal และสื่อมวลชน บริษัทได้เร่งดำเนินการอัปเดต สองแพทช์ถูกส่งโดยอัตโนมัติในวันที่ 8 และ 10 กุมภาพันธ์

Leia Tambem
Colby Minifie ยืนยันพลังของ Ashley Barrett ใน The Boys ซีซั่นที่ 5

Colby Minifie ยืนยันพลังของ Ashley Barrett ใน The Boys ซีซั่นที่ 5

การทดสอบแบตเตอรี่ใหม่ทำให้ Galaxy S26 Ultra นำหน้า iPhone 17 Pro Max ในการจัดอันดับโลก

การทดสอบแบตเตอรี่ใหม่ทำให้ Galaxy S26 Ultra นำหน้า iPhone 17 Pro Max ในการจัดอันดับโลก

ผลวิจัยเผยพ่อแม่ไม่รู้ว่าลูกใช้ปัญญาประดิษฐ์อย่างไร

ผลวิจัยเผยพ่อแม่ไม่รู้ว่าลูกใช้ปัญญาประดิษฐ์อย่างไร

บริษัทระบุว่าปัญหาได้รับการแก้ไขแล้วและกำลังดำเนินการแก้ไขก่อนที่จะเปิดเผยต่อสาธารณะ โฆษกหญิงอธิบายว่าช่องโหว่นี้เกี่ยวข้องกับการตรวจสอบสิทธิ์บนแบ็กเอนด์

Azdoufal ตั้งข้อสังเกตว่าปัญหาเล็กๆ น้อยๆ ยังคงมีอยู่ในตอนแรก เช่น การเข้าถึงสตรีมวิดีโอโดยไม่ต้องใช้ PIN ความปลอดภัย DJI ได้สัญญาว่าจะแก้ไขประเด็นเพิ่มเติมเหล่านี้ในการอัปเดตในอนาคต

ความเสี่ยงสำหรับผู้ใช้อุปกรณ์อัจฉริยะ

หุ่นยนต์ดูดฝุ่นพร้อมกล้องและไมโครโฟนแสดงถึงเป้าหมายที่เป็นไปได้ในเครือข่ายในบ้านที่เชื่อมต่อ การเข้าถึงโดยไม่ได้รับอนุญาตอาจเปิดเผยกิจวัตรประจำวัน ผังบ้าน และการสนทนาส่วนตัว กรณีก่อนหน้านี้กับแบรนด์อื่นก็แสดงให้เห็นการละเมิดที่คล้ายกัน

เหตุการณ์ดังกล่าวเน้นย้ำถึงความจำเป็นในการรับรองความถูกต้องที่เข้มงวดในโปรโตคอล IoT โทเค็นต้องกำหนดขอบเขตตามอุปกรณ์และการสมัครสมาชิกมีจำกัด ผู้ผลิตจำเป็นต้องทดสอบหัวข้อไวด์การ์ดและการตรวจสอบสิทธิ์

ผู้ใช้จะต้องดูแลรักษาเฟิร์มแวร์และเครือข่ายเซ็กเมนต์ที่อัปเดตสำหรับอุปกรณ์อัจฉริยะ มาตรการง่ายๆ ช่วยลดการสัมผัสในระบบนิเวศที่เชื่อมต่อกัน

ผลกระทบต่อตลาดหุ่นยนต์ในบ้าน

DJI Romo เข้าสู่กลุ่มหุ่นยนต์ดูดฝุ่นด้วยคุณสมบัติการทำแผนที่และกล้องขั้นสูง ความล้มเหลวเกิดขึ้นไม่นานหลังจากการเปิดตัวทั่วโลก ซึ่งอาจส่งผลต่อความเชื่อมั่นในผลิตภัณฑ์ของแบรนด์ซึ่งเป็นที่รู้จักในเรื่องโดรน

บริษัทในภาคส่วนนี้เผชิญกับแรงกดดันที่เพิ่มขึ้นด้านความปลอดภัย เหตุการณ์ต่างๆ เผยให้เห็นว่าความสะดวกในการเชื่อมต่อจำเป็นต้องมีการตรวจสอบอย่างเข้มงวด กรณีนี้ทำหน้าที่เป็นคำเตือนสำหรับอุตสาหกรรม IoT ในประเทศทั้งหมด

Azdoufal แบ่งปันรหัสของเขาสำหรับการควบคุม gamepad หลังจากการแก้ไข เขาย้ำว่าเขาไม่ได้ขุดข้อมูลและรายงานปัญหาทันที

Veja Tambem em Tailandês News

การค้าปลีกแบบดิจิทัลลดมูลค่าของสมาร์ทโฟน Galaxy S25 5G ด้วยโบนัสธนาคารและการแลกเปลี่ยนอุปกรณ์

การค้าปลีกแบบดิจิทัลลดมูลค่าของสมาร์ทโฟน Galaxy S25 5G ด้วยโบนัสธนาคารและการแลกเปลี่ยนอุปกรณ์
อะแดปเตอร์ CarPlay ไร้สายของ Amazon มีส่วนลด 50% และคะแนนการอนุมัติสูงจากไดรเวอร์

อะแดปเตอร์ CarPlay ไร้สายของ Amazon มีส่วนลด 50% และคะแนนการอนุมัติสูงจากไดรเวอร์
ส่วนลดที่สำคัญสำหรับ Galaxy S25 Plus ลดมูลค่าลงต่ำกว่า 4,500 เรียลในร้านค้าออนไลน์

ส่วนลดที่สำคัญสำหรับ Galaxy S25 Plus ลดมูลค่าลงต่ำกว่า 4,500 เรียลในร้านค้าออนไลน์
การลดราคาของ PlayStation 5 Pro ช่วยเร่งยอดค้าปลีกดิจิทัลและลดสต็อกทั่วโลก

การลดราคาของ PlayStation 5 Pro ช่วยเร่งยอดค้าปลีกดิจิทัลและลดสต็อกทั่วโลก
การอัปเดตระบบ Apple ใหม่ช่วยเพิ่มประสิทธิภาพการจัดการงานเร่งด่วนสำหรับผู้ใช้ iPhone

การอัปเดตระบบ Apple ใหม่ช่วยเพิ่มประสิทธิภาพการจัดการงานเร่งด่วนสำหรับผู้ใช้ iPhone
รายละเอียดฮาร์ดแวร์รั่วไหลของ PlayStation แบบพกพารุ่นใหม่พร้อมกราฟิกที่เหนือกว่า Xbox Series S

รายละเอียดฮาร์ดแวร์รั่วไหลของ PlayStation แบบพกพารุ่นใหม่พร้อมกราฟิกที่เหนือกว่า Xbox Series S
Oppo เปิดตัว Find X9 Ultra อย่างเป็นทางการทั่วโลกพร้อมเลนส์ Hasselblad และแบตเตอรี่ที่แข็งแกร่ง

Oppo เปิดตัว Find X9 Ultra อย่างเป็นทางการทั่วโลกพร้อมเลนส์ Hasselblad และแบตเตอรี่ที่แข็งแกร่ง
สมาร์ทโฟนแบบพับได้รุ่นใหม่นำสีทองมาสู่ผู้เข้าแข่งขัน Winter Games

สมาร์ทโฟนแบบพับได้รุ่นใหม่นำสีทองมาสู่ผู้เข้าแข่งขัน Winter Games
Tim Cook เผย iPhone และ iPod ต้นแบบใหม่เพื่อเฉลิมฉลองครบรอบ 50 ปีของ Apple

Tim Cook เผย iPhone และ iPod ต้นแบบใหม่เพื่อเฉลิมฉลองครบรอบ 50 ปีของ Apple
ระบบ Android ได้รับการผสานรวม Gemini Nano 4 สำหรับการประมวลผลแบบออฟไลน์บนสมาร์ทโฟน

ระบบ Android ได้รับการผสานรวม Gemini Nano 4 สำหรับการประมวลผลแบบออฟไลน์บนสมาร์ทโฟน
Leak เผย Lords of the Fallen และ Sword Art Online ในแค็ตตาล็อก PS Plus Essential ประจำเดือนเมษายน

Leak เผย Lords of the Fallen และ Sword Art Online ในแค็ตตาล็อก PS Plus Essential ประจำเดือนเมษายน
Samsung อัปเดตโมดูล QuickStar และขยายการควบคุมด้วยภาพของแผงควบคุมในอินเทอร์เฟซ One UI 8.5

Samsung อัปเดตโมดูล QuickStar และขยายการควบคุมด้วยภาพของแผงควบคุมในอินเทอร์เฟซ One UI 8.5