Inženjer htio na daljinu upravljati svojim robotskim usisavačem pa dobio pristup tisućama uređaja
Propust u sustavu kineskog proizvođača DJI omogućio je pristup kamerama i mikrofonima gotovo 7.000 robotskih usisavača širom svijeta jednom vlasniku, koji je samo htio daljinski upravljati svojim robotom
Sammy Azdoufal, softverski inženjer, slučajno je otkrio kritičnu ranjivost u sigurnosnom sustavu novog robotskog usisavača DJI Romo. Pokušavajući izraditi vlastitu aplikaciju koja bi mu omogućila upravljanje uređajem pomoću kontrolera za PlayStation 5, Azdoufal je koristio Claude AI asistenta za kodiranje kako bi analizirao komunikaciju robota s DJI-jevim poslužiteljima u oblaku. Međutim, umjesto pristupa samo vlastitom uređaju, sustav mu je dodijelio vjerodajnice koje su mu omogućile uvid u podatke tisuća drugih korisnika.
Stvorio "vojsku robotskih usisavača"
Ovaj propust u backendu praktički je izložio oko 7.000 robotskih usisavača u 24 zemlje jednom korisniku, koji to čak nije niti želio. Azdoufal je utvrdio da su mu poslužitelji, umjesto provjere pojedinačnog sigurnosnog tokena, omogućili pristup kao da je on vlasnik čitave flote uređaja. Time je dobio mogućnost praćenja videozapisa uživo, pristupa mikrofonima, kao i uvid u tlocrte domova te približne lokacije korisnika putem njihovih IP adresa. Ne treba posebno naglašavati koliko je to zapravo velik sigurnosni propust te koliko podataka o korisnicima je na ovaj način moglo biti kompromitirano.
Iako su ovakvi podaci u pogrešnim rukama mogli poslužiti kao alat za masovni nadzor, Azdoufal je odlučio svoja saznanja podijeliti s javnošću i samim proizvođačem. Iz tvrtke DJI potvrdili su postojanje ranjivosti, navodeći kako je problem identificiran internom revizijom krajem siječnja.
Zakrpa već implementirana
Prema službenom priopćenju, promptno su reagirali implementacijom zakrpa tijekom veljače. Prvo ažuriranje sustava pušteno je 8. veljače, dok je finalna nadogradnja dovršena 10. veljače, čime je – barem prema tvrdnjama kompanije – problem u potpunosti otklonjen. Ažuriranje je primijenjeno automatski na sve pogođene sustave, pa se od korisnika nisu tražile nikakve dodatne radnje u tom smislu. Iz DJI-ja su poručili i da će nastaviti s implementacijom dodatnih sigurnosnih poboljšanja, iako nisu precizirali o kakvim se točno mjerama radi.
DJI Romo, uređaj koji je doveo do ovog otkrića, robotski je usisavač cijene oko 2.000 eura. Opremljen je brojnim senzorima i kamerama nužnima za navigaciju i razlikovanje prostorija. Budući da se dio tih podataka pohranjuje na udaljenim poslužiteljima, ranjivost na toj razini izravno je kompromitirala privatnost unutar domova korisnika. Stručnjaci za kibernetičku sigurnost upozoravaju da ovakvi incidenti potvrđuju dugogodišnje sumnje o rizicima pametnih kućnih uređaja.
