แฮกเครื่องดูดฝุ่น
พระเอกของเรื่องคือ Sammy Azdoufal วิศวกรซอฟต์แวร์ชาวสเปน แกซื้อหุ่นยนต์ดูดฝุ่นรุ่นใหม่ล่าสุด DJI Romo มา ด้วยความที่เป็น Geek แกไม่อยากใช้แอปมือถือจิ้มๆ แต่อยากใช้ จอย PS5 บังคับหุ่นยนต์เดินเล่นในบ้านเหมือนขับรถบังคับ
ความที่ขี้เกียจเขียนโค้ดเองตั้งแต่ศูนย์ แกเลยให้ Claude Code (AI coding assistant ของ Anthropic) ช่วย Reverse Engineer ตัวแอป DJI เพื่อดูว่ามันคุยกับ Server ยังไง จะได้เขียน Script ไปสั่งงานผ่าน API แทน
Claude ก็ทำหน้าที่ได้ดีเกินคาด แกะ Protocol ออกมาได้หมด จนได้ Auth Token มาครอง
พอลองยิง API request เพื่อเชื่อมต่อ แทนที่จะเจอหุ่นยนต์ของตัวเองตัวเดียว ระบบดันตอบกลับมาพร้อมกับ Session ของหุ่นยนต์ 7,000 ตัวทั่วโลก!
นั่นเป็นเพราะ DJI ตกม้าตายเรื่อง Basic Security แบบสุดๆ คือระบบเช็คแค่ว่า "Token นี้ถูกต้องไหม" แต่ไม่เช็คว่า "Token นี้เป็นเจ้าของหุ่นตัวนี้ไหม"
เลยกลายเป็นว่า Sammy มี "Master Key" ที่ไขเข้าหุ่นยนต์ทุกตัวในระบบได้ทันที
สิ่งที่ Sammy เห็นไม่ใช่แค่ Status ว่าหุ่นทำงานอยู่ไหม แต่เข้าถึงได้ระดับลึกมากๆ เช่น
Live Camera Feed: ดูกล้องหน้าของหุ่นยนต์ได้แบบ Real-time (เห็นคนเดินไปมาในบ้าน เห็นของวางบนพื้น)
Floor Plans: เห็นแปลนบ้านทั้งหลังที่หุ่นยนต์สแกนเก็บไว้ (รู้หมดว่าห้องนอนอยู่ไหน ทางเข้าออกอยู่ไหน)
Mic Audio: แอบฟังเสียงในบ้านได้
Geolocation: รู้พิกัดบ้านคร่าวๆ จาก IP Address
Sammy รีบแจ้งเรื่องนี้กับสำนักข่าว The Verge เพื่อให้ช่วยกระทุ้ง DJI
ความพีคคือ ตอนที่ DJI ตอบกลับมาว่า "เราแก้บั๊กนี้แล้ว" (Fixed)... Sammy เลยพิสูจน์ให้ดูสดๆ ด้วยการเจาะเข้าไปที่หุ่นยนต์ของนักข่าว The Verge (Thomas Ricker) ที่กำลังรีวิวเครื่องอยู่
Sammy บอกได้เป๊ะๆ ว่า "ตอนนี้แบตคุณเหลือ 80% นะ และหุ่นกำลังวิ่งอยู่ในห้องนั่งเล่น" พร้อมโชว์ภาพจากกล้องให้ดู... สรุปคือที่ DJI บอกว่าแก้แล้ว คือยังไม่ได้แก้จริง (หรือแก้ไม่หมด)
สุดท้าย DJI ต้องรีบ Patch ระบบขนานใหญ่ภายใน 2 วันตามข่าวครับ เป็นอีกเคสที่ย้ำว่า "S" ในคำว่า "IoT" ย่อมาจาก Security จริงๆ (คือไม่มีเลย!)
- 1
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
