Một hacker đã dùng robot cắt cỏ đè lên tôi: Lỗ hổng bảo mật khủng khiếp của Yarbo

Tôi nằm bẹp xuống đất. Nó đang lao tới. Rồi, với một cú giật mạnh, nó leo lên ngực tôi. Nếu Andreas Makris không kịp thời dừng chiếc robot cắt cỏ nặng 90kg này lại, những lưỡi dao của nó có thể sẽ xé toạc cơ thể tôi.

Makris chắc chắn không thể với tay ra và nhấn nút khẩn cấp — anh ấy đang ở cách đó gần 9.700km, đã hack chiếc robot này từ phía bên kia hành tinh để chứng minh những lỗ hổng bảo mật khổng lồ trong robot cắt cỏ của Yarbo. Và tôi đã đưa ra quyết định điên rồ là nằm xuống đường đi của máy cắt cỏ — để xem Makris, nhà nghiên cứu bảo mật đã phát hiện ra những lỗ hổng này, có thể đẩy chiếc máy đi bao xa.

Robot cắt cỏ Yarbo với phụ kiện cắt tỉa

Đến lúc chiếc máy cắt cỏ chạm vào cơ thể tôi, Makris đã chứng minh được điểm của mình: những chiếc robot cắt cỏ giá 5.000 USD của Yarbo có những lỗ hổng bảo mật vô lý đến mức một hacker nước ngoài có thể dễ dàng chiếm quyền kiểm soát một thiết bị có lưỡi dao sắc bén tại Mỹ. Và không chỉ một. Hàng ngàn, hàng vạn robot có lưỡi dao của Trung Quốc đang chờ lệnh của anh ấy. Mọi chiếc robot Yarbo trên thế giới, dù được cấu hình để cắt cỏ, dọn tuyết hay nhổ cỏ, về mặt lý thuyết đều đang báo cáo cho anh ấy lúc này.

"Tôi có thể làm bất cứ điều gì tôi muốn với tất cả các robot," Makris nói với The Verge. "Nó hoàn toàn không được bảo vệ."

Và tin hay không, việc điều khiển từ xa chỉ là phần nổi của tảng băng chìm.

Lỗ hổng bảo mật chết người

Giống như Sammy Azdoufal, người đã gây chấn động thế giới khi The Verge tiết lộ anh ta đã khiến hàng ngàn robot hút bụi DJI Romo tự nhận diện và tuân theo lệnh, Makris phát hiện ra robot của Yarbo cũng làm điều tương tự. Nếu bạn có quyền truy cập vào một robot, bạn có quyền truy cập vào tất cả.

Nhưng những robot này có lưỡi dao — và hacker có thể sử dụng các lệnh tích hợp của robot để vô hiệu hóa tính năng an toàn. Makris cho biết ngay cả khi bạn nhấn nút khẩn cấp màu đỏ lớn trên máy cắt, hacker vẫn có thể gửi một lệnh khác để mở khóa nó.

Vì Yarbo thực chất là một máy tính Linux hoàn chỉnh với một cửa sau (backdoor) riêng và mật khẩu root luôn giống nhau, hacker có thể lập trình lại nó từ xa để làm mọi thứ: kích hoạt lưỡi dao, quét mạng gia đình bạn, hoặc biến robot của bạn thành một phần của mạng botnet để tấn công các mục tiêu trên internet.

Robot cắt cỏ Yarbo hoạt động

Được thành lập năm 2015 với tư cách là công ty robot dọn tuyết, Yarbo bán các loại robot sân vườn đa năng với các phụ kiện mô-đun cho phép nó biến thành máy cắt cỏ, máy thổi lá, máy dọn tuyết, máy cắt tỉa và máy viền. Mỗi phụ kiện được đẩy hoặc kéo bởi cùng một "lõi" robot sử dụng bánh xích để di chuyển và leo trèo — đó là lý do tất cả chúng đều có thể bị hacker tấn công.

Makris bắt đầu bằng cách chỉ cho tôi một bản đồ với các vị trí của khoảng 5.400 thiết bị Yarbo tại Mỹ và Châu Âu. (Anh ấy đang theo dõi hơn 11.000 thiết bị trên toàn thế giới). Sau đó, ngay trước mắt tôi, anh ấy nhấn một nút để chiếm quyền kiểm soát một robot ở bang New York.

Lộ lộ vị trí và mật khẩu Wi-Fi

Robot này đang cắt cỏ một khu đất, ngôi nhà trắng hiện rõ ở phía sau. Nhưng chúng tôi đã làm gián đoạn chương trình hoạt động của nó. Makris kéo cần điều khiển ảo trên màn hình bằng chuột, và tôi thấy camera của robot xoay theo từng chuyển động đó. Không có gì ngăn cản anh ấy lái xe đến bất cứ đâu anh ấy thích, do thám gia đình này, xác định khi nào họ ra vào.

Tương tự, có thể không có gì ngăn cản một kẻ xấu do thám các chuyển động của quân đội gần một nhà máy điện hạt nhân. Makris đã xác định được 12 robot Yarbo khác nhau trong bán kính 3km một nhà máy điện lớn — trong đó một chiếc có vẻ được đăng ký bởi một chuyên gia phân tích an ninh hạt nhân.

Sau đó, Makris khiến tôi kinh ngạc thêm một lần nữa: Anh ấy cho thấy mình có thể trích xuất địa chỉ email của chủ sở hữu, mật khẩu Wi-Fi và tọa độ GPS chính xác của ngôi nhà họ. Khi tôi tra cứu địa chỉ trên Google Maps, tôi thấy hình ảnh vệ tinh của khu đất trông giống hệt những gì chúng tôi thấy qua camera của robot.

Bốn ngày sau, tôi lái xe qua các ngọn đồi ở Thung lũng Silicon để tìm bằng chứng. Ngôi nhà đầu tiên trong danh sách của tôi khiến tim tôi hẫng một nhịp. Nhìn xuống sân sau dốc của một ngôi nhà từ vỉa hè phía trên, tôi thấy một robot Yarbo đúng vị trí Makris đã chỉ định. Khi tôi lấy điện thoại ra để quét các mạng Wi-Fi địa phương, tôi thấy cùng các điểm truy cập riêng tư mà Makris tìm thấy trong lần quét của mình.

Phản ứng của chủ sở hữu và nhà sản xuất

Khi tôi sau đó gửi email cho chủ sở hữu, sử dụng địa chỉ email mà robot Yarbo cung cấp, tôi nhận được câu trả lời. Ông ấy đồng ý gặp mặt trực tiếp.

Wayne Yu muốn biết robot cắt cỏ của mình đã dẫn tôi đến cửa nhà ông như thế nào. Một người đam mê thiết bị công nghệ tự nhận, ông ấy nói rằng ông không lo lắng việc Yarbo cung cấp cho chúng tôi ảnh ngôi nhà của mình. "Mọi người luôn hack vào các thiết bị, nên tôi không ngạc nhiên," ông ấy nói.

Tuy nhiên, khi tôi hỏi ông ấy cảm thấy thế nào khi biết một hacker ở nửa bên kia trái đất đã dẫn tôi đến tận cửa, đưa cho tôi email và mật khẩu Wi-Fi của ông ấy, ông ấy nói rằng ông ấy thấy khó chịu. "Không tốt. Không tốt chút nào," Yu lặp lại.

Matt Petach, cựu kiến trúc sư mạng và chủ sở hữu Yarbo, thì ít ngạc nhiên hơn khi tôi xuất hiện trên cửasteps. Dường như không có gì làm ông ấy bối rối, ngay cả khi tôi chỉ cho ông ấy mật khẩu Wi-Fi của chính mình. Ông ấy nói đó là mạng khách riêng biệt, được thiết lập để tự động từ chối các thiết bị không xác định.

Mọi người nên đối xử với những thiết bị này như những tác nhân thù địch, Petach nói. "Thật không may rằng, cái tên sự tiện lợi, chủ nhà và người dùng khác được mời gọi để coi công nghệ là bạn tốt nhất, người trợ giúp tin cậy của họ," ông ấy nói. Bạn nên nghĩ về bảo mật kém giống như thấy thiếu tính năng an toàn trên một công cụ điện: "Nó giống như một cưa máy không có tay bảo vệ, không có phanh, với dây xích lỏng lẻo sẵn sàng cắt đứt chân bạn bất cứ lúc nào."

Nhà báo Sean Hollister và chủ sở hữu robot Matt Petach

Makris giải thích rằng không chỉ mỗi robot Yarbo có cùng mật khẩu root được mã hóa cứng (hardcoded), mà chủ sở hữu cũng không thể tự bảo vệ mình bằng cách đặt mật khẩu tốt hơn. Mỗi lần Yarbo cập nhật phần mềm hệ thống (firmware) cho robot, nó thay đổi mật khẩu root của robot ngay trở lại mật khẩu mặc định. Hacker có thể quay lại ngay lập tức. "Trời ơi, tệ hơn tôi nghĩ nhiều," Petach nói.

Về phần mình, Yarbo đã cố gắng trấn an Makris rằng cửa sau truy cập từ xa vào mọi robot không thể bị lạm dụng. Đó là lý do Makris quyết định làm điều mà các nhà nghiên cứu bảo mật thường tránh: hôm nay, anh ấy công bố nghiên cứu của mình, bao gồm các tiết lộ lỗ hổng CVE chính thức, mà không cho Yarbo thời gian sửa chữa vấn đề trước.

Khi anh ấy lần đầu tiên liên hệ với Yarbo để cảnh báo công ty về vấn đề này, anh ấy không thể tìm thấy liên hệ bảo mật hay chương trình tiền thưởng lỗi (bug bounty), và bộ phận hỗ trợ khách hàng của công ty đã cố gắng biện minh cho việc truy cập từ xa là một tính năng an toàn, hữu ích mà các kỹ sư của Yarbo sẽ chỉ sử dụng để chẩn đoán lỗi từ xa cho khách hàng.

Thử nghiệm đòn đau thực tế

Đó là lý do cuối cùng tôi nằm dưới một chiếc máy cắt cỏ Yarbo — như một phần của bài kiểm soát để xem máy móc này thực sự an toàn và "bảo mật" đến mức nào. Tôi đã học được rằng nguy hiểm đi xa hơn những lưỡi dao; rằng chúng ta đang sống trong một vùng hoang dã nơi các thiết bị hiện đại có thể lộ vị trí GPS chính xác, video trực tiếp từ xa của ngôi nhà bạn và xâm phạm mạng gia đình bạn chỉ trong một nốt nhạc.

Một ngày thứ Sáu, với sự cho phép của anh ấy, tôi đến nhà của Petach. Chúng tôi thực hiện cuộc gọi video: Makris ở Đức, Petach ở Nam California, và tôi là người duy nhất có mặt vật lý tại ngôi nhà. Với vài cú nhấp chuột, Makris chiếm quyền kiểm soát chiếc Yarbo ngay trước mắt tôi, cả khi nó đang rảnh rỗi lẫn khi đang giữa buổi cắt cỏ. Tôi thấy rằng anh ấy nhìn thấy tôi qua camera của Yarbo.

Đã đến lúc xem Yarbo có cơ chế an toàn tích hợp nào không, chẳng hạn như tránh chướng ngại vật. Tôi nằm xuống đất.

Tôi không phải kẻ ngốc hoàn toàn. Lưỡi dao không quay, và chúng tôi đang cho robot chạy lùi — nên bánh xích của nó, chứ không phải lưỡi dao, sẽ chạm vào tôi trước.

Nhưng khi những tạ kim loại, nhựa và máy tính quá dễ bị hack đầu tiên đè cơ thể tôi xuống đất — và Makris cuối cùng, may mắn thay, đã lùi lại — tôi nhận ra thí nghiệm khoa học này không an toàn như tôi nghĩ.