DJI พบช่องโหว่ ทดสอบใช้จอย PS5 คุมหุ่นดูดฝุ่นได้ 7,000 ตัว ทั่วโลก

Sammy Azdoufal หัวหน้าฝ่ายกลยุทธ์ AI ของบริษัทแห่งหนึ่ง เพียงแค่อยากหาวิธีควบคุมหุ่นยนต์ดูดฝุ่น DJI Romo ตัวใหม่ของเขาด้วยจอย PS5 เพราะคิดว่ามันน่าสนุกดี

เขาจึงใช้ผู้ช่วยเขียนโค้ดอย่าง Claude Code เพื่อทำวิศวกรรมย้อนกลับ (Reverse Engineering) โปรโตคอลการสื่อสารของแอปพลิเคชัน แต่เมื่อแอปพลิเคชันของเขาเริ่มเชื่อมต่อกับเซิร์ฟเวอร์ สิ่งที่ตอบรับกลับมา 'ไม่ได้มีแค่หุ่นยนต์ของเขาเพียงตัวเดียว'

ภายในเวลาเพียง 9 นาที ระบบของเขาสามารถรวบรวมข้อมูลและเข้าถึงได้ดังนี้

• หุ่นยนต์ดูดฝุ่น DJI Romo จำนวนกว่า 7,000 ตัว จาก 24 ประเทศทั่วโลก และอุปกรณ์รวมกว่า 10,000 ชิ้น 
• ข้อความข้อมูล มากกว่า 100,000 ข้อความ

เมื่อ 'หุ่นยนต์ดูดฝุ่น' กลายเป็น 'กล้องวงจรปิด' ความน่าสนใจของข่าวนี้ในมุมมองเทคโนโลยี คือระดับความลึกของข้อมูลส่วนตัวที่หลุดรอดออกมา

Azdoufal พบว่าเขาสามารถดูภาพจากกล้องวิดีโอแบบเรียลไทม์ ฟังเสียงผ่านไมโครโฟน ดูแผนผังบ้าน 2 มิติที่หุ่นยนต์สร้างขึ้น ไปจนถึงการใช้ IP Address เพื่อระบุพิกัดคร่าวๆ ของผู้ใช้งานได้

ปัญหาทางเทคนิคนี้ไม่ได้เกิดจากการที่เขาแฮกเข้าไปในเซิร์ฟเวอร์ แต่เกิดจากการจัดการสิทธิ์ของ DJI ที่หละหลวม ทำให้แอปพลิเคชันของเขาสามารถมองเห็นข้อมูลของอุปกรณ์อื่นๆ นับพันตัวที่ส่งข้อมูลหากันได้ทันที

แม้ทาง DJI จะออกมาชี้แจงว่าได้ปล่อยอัปเดตเพื่อแก้ไขปัญหา 'Backend permission validation' นี้ไปแล้วตั้งแต่ช่วงต้นเดือนกุมภาพันธ์ 2026

แต่เหตุการณ์นี้สะท้อนให้เห็นว่า ผู้ใช้ที่ไม่ได้เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ สามารถใช้ AI ช่วยอ่านโค้ดและค้นพบช่องโหว่ระดับองค์กรได้อย่างรวดเร็ว

การเข้ารหัสแค่ทางผ่านไม่เพียงพอ แม้ข้อมูลจะถูกส่งผ่านช่องทางที่ปลอดภัย แต่หากไม่มีการเข้ารหัสข้อมูลที่ปลายทาง และการแบ่งแยกสิทธิ์บนเซิร์ฟเวอร์อย่างถูกต้อง ข้อมูลทั้งหมดก็จะถูกเปิดเผยได้ง่ายดาย

ที่มา : The Verge