Španielsky softvérový vývojár Sammy Azdoufal získal prístup k živým kamerám približne 7 000 robotických vysávačov DJI Romo rozmiestnených po celom svete, informuje portál Techbyte.sk. DJI zraniteľnosť podľa vlastného vyjadrenia opravila aktualizáciou firmvéru.
Azdoufal neplánoval žiadny útok. Chcel len pripojiť vlastný vysávač k ovládaču od konzoly PlayStation 5. Keď jeho aplikácia nadviazala komunikáciu so servermi DJI, zariadenie začalo reagovať nielen na jeho príkazy, ale aj na tisíce ďalších vysávačov po celom svete. „Zistil som, že moje zariadenie je len jedným z mnohých,“ povedal vývojár pre server The Verge, napísal server TECHBYTE.sk.
Živé prenosy z cudzích domovov
Cez neúmyselnú bezpečnostnú medzeru mohol Azdoufal sledovať živé obrazové prenosy z kamier zabudovaných vo vysávačoch a počúvať zvuky z domácností ich majiteľov. Pomocou IP adries jednotlivých robotov dokázal zistiť aj ich približnú polohu. Celkovo sa takto správalo okolo 7 000 zariadení, pričom ich majitelia o ničom nevedeli.
Vývojár zraniteľnosť nahlásil priamo spoločnosti DJI a zdôraznil, že jeho zámerom nebolo nikoho ohroziť ani zariadenia zneužiť. Incident tak odhalil chybu, ktorá by v iných rukách umožňovala sledovanie cudzích domácností v reálnom čase, a to bez akéhokoľvek fyzického prístupu k zariadeniam.
Ecovacs, 2024
Prípad DJI Romo nie je prvý svojho druhu. V roku 2024 sa v Spojených štátoch terčom hackerského útoku stali robotické vysávače Ecovacs. Zariadenia prestali reagovať na príkazy svojich majiteľov, nekontrolovateľne sa pohybovali po domácnostiach a útočníci nad nimi prevzali plnú kontrolu. Aj vtedy stála za incidentom rovnaká slabina: nedostatočná ochrana používateľských účtov.
Profesor informatiky Alan Woodward v rozhovore pre denník The Guardian uviedol, že výrobcovia by mali vyžadovať vytvorenie silného hesla okamžite pri prvom spustení zariadenia, nie až dodatočne v nastaveniach. Slabé zabezpečenie účtov pritom neohrozuje len samotný vysávač. Podľa štúdie publikovanej v odbornom časopise Journal of Information Security and Applications môžu útočníci cez nedostatočne chránené inteligentné zariadenie získať prístup k ďalším prvkom domácej siete, od osvetlenia a zámkov po bezpečnostné kamery a detské pestúnky.
Azdoufalov prípad a útok na Ecovacs spája jedna vec: v oboch prípadoch nebola príčinou sofistikovaná technika. Stačila chyba v základnej architektúre komunikácie so serverom, respektíve slabé heslo. DJI zraniteľnosť odstránila. Koľko podobných medzier zostáva v iných zariadeniach bez toho, aby ich niekto objavil náhodou pri hraní s ovládačom od PlayStation, portál Techbyte.sk neuvádza.
