Niespodziewane odkrycie programisty. Te urządzenia mogły podglądać i podsłuchiwać

Podczas tworzenia własnej aplikacji do zdalnego sterowania robotem sprzątającym za pomocą joysticka Sammy Azdoufal – specjalista od AI z Barcelony – skorzystał z asystenta kodowania opartego na AI, aby odtworzyć sposób, w jaki robot komunikuje się z chmurowymi serwerami DJI. Wkrótce odkrył jednak, że te same dane uwierzytelniające, które pozwalały mu podglądać i kontrolować jego własne urządzenie, dawały także dostęp do transmisji na żywo z kamer, dźwięku z mikrofonów, map oraz danych o stanie pracy niemal 7 tys. innych odkurzaczy w 24 krajach na całym świecie.

Odkrycie, które ujawniło globalną lukę w zabezpieczeniach

Luka w zabezpieczeniach systemu sprawiła, że cała armia podłączonych do internetu robotów mogłaby – w niepowołanych rękach – stać się narzędziem inwigilacji, bez wiedzy ich właścicieli.

Czytaj więcej

Biznes

Amerykanie już nie kupią najnowszych chińskich dronów. „Niedopuszczalne ryzyko”

Z chińskich dronów w USA od lat korzystają nie tylko prywatni właściciele, ale także policja oraz...

Na szczęście Azdoufal nie zdecydował się tego wykorzystać. Zamiast tego przekazał swoje ustalenia redakcji „The Verge”, która szybko skontaktowała się z DJI, informując o błędzie. DJI przekazało magazynowi „Popular Science”, że problem został „rozwiązany”, jednak całe zdarzenie jest potwierdzeniem ostrzeżeń ekspertów ds. cyberbezpieczeństwa, którzy od dawna zwracają uwagę, że roboty podłączone do internetu i inne urządzenia typu smart home są atrakcyjnym celem dla hakerów. Wraz z rosnącą popularnością domowych robotów (w tym nowszych, bardziej interaktywnych modeli humanoidalnych) podobne luki mogą być coraz trudniejsze do wykrycia.

Narzędzia do kodowania oparte na AI, które ułatwiają osobom z mniejszą wiedzą techniczną wykorzystywanie błędów w oprogramowaniu, mogą dodatkowo potęgować te zagrożenia.

Co potrafi robot DJI Romo i jakie dane zbiera

Chodzi o model DJI Romo – autonomiczny odkurzacz domowy, który zadebiutował w Chinach w ubiegłym roku i teraz trafia na kolejne rynki. Kosztuje około 2000 dol. Jak inne roboty sprzątające, wyposażony jest w zestaw czujników umożliwiających poruszanie się w przestrzeni i wykrywanie przeszkód. Użytkownicy mogą nim sterować i planować jego pracę za pomocą aplikacji, ale urządzenie zaprojektowano tak, by większość czasu sprzątało i mopowało autonomicznie. Aby Romo – podobnie jak każdy nowoczesny autonomiczny odkurzacz – mógł działać, musi stale zbierać dane wizualne z budynku, w którym pracuje. Musi też rozumieć różnice między pomieszczeniami, np. między kuchnią a sypialnią. Część danych z czujników przechowywana jest zdalnie na serwerach DJI, a nie na samym urządzeniu.

Czytaj więcej

Globalne Interesy

Wojna handlowa USA z Chinami. Ma być zakaz kolejnego popularnego urządzenia

Departament Handlu USA poinformował, że rozważa wprowadzenie przepisów, które ograniczyłyby albo...

Aby autorska aplikacja Azdoufala zadziałała, musiała komunikować się z serwerami DJI i uzyskać token bezpieczeństwa potwierdzający, że jest właścicielem robota. Zamiast jednak zweryfikować pojedynczy token, serwery przyznały mu dostęp do całej grupy robotów, traktując go jak ich właściciela. To przeoczenie umożliwiło mu podgląd obrazu z kamer w czasie rzeczywistym i włączanie mikrofonów. Twierdzi on również, że mógł tworzyć dwuwymiarowe plany mieszkań, w których roboty pracowały. Szybkie sprawdzenie adresów IP urządzeń ujawniło ich przybliżoną lokalizację. Azdoufal podkreśla jednak, że nie było to „hakowanie” z jego strony – po prostu natrafił na poważny problem z bezpieczeństwem.

Robot sprzątający ROMO chińskiej firmy DJI

Foto: Adobe Stock

Firma DJI zapewniła, że zidentyfikowała lukę w zabezpieczeniach dotyczącą DJI Home podczas wewnętrznego przeglądu pod koniec stycznia i natychmiast rozpoczęła działania naprawcze. Problem został rozwiązany w dwóch aktualizacjach, które zostały zainstalowane automatycznie i nie wymagały żadnych działań ze strony użytkowników.