Subskrybuj nas na Youtube
Zapisz się na newsletter
- Zamiast sprzątać, szpiegował? Jak Sammy Azdoufal „zhakował” robota DJI
- 7000 odkurzaczy na jednym ekranie. Dane z całego świata w rękach programisty
- Podgląd z kamery odkurzacza. Co widział laptop Azdoufala?
- Odpowiedź producenta odkurzacza: czy poprawki DJI faktycznie zamknęły lukę?
- Jeden haker i tysiące mieszkań. czy inteligentny dom to cyfrowa pułapka?
Zamiast sprzątać, szpiegował? Jak Sammy Azdoufal „zhakował” robota DJI
Sammy Azdoufal zhakował odkurzacz samojeżdżący chińskiego producenta – donosi serwis The Verge. W rzeczywistości – jak sam twierdzi – nie włamywał się na żadne serwery. Jak zapewniał chciał jedynie sterować swoim nowym robotem za pomocą pada od PlayStation 5. W tym celu stworzył własną aplikację i zaczął analizować, w jaki sposób urządzenie komunikuje się z chmurą producenta.
7000 odkurzaczy na jednym ekranie. Dane z całego świata w rękach programisty
Co ciekawe, gdy jego aplikacja połączyła się z infrastrukturą DJI – producenta robota, odpowiedział nie tylko jego własny odkurzacz. W ciągu kilku minut do jego komputera zaczęły „meldować się” tysiące urządzeń z całego świata. Jak donosi serwis, około 7000 robotów z 24 krajów wysyłało regularnie dane:
- numery seryjne,
- status sprzątania,
- poziom baterii,
- informacje o przeszkodach,
- szczegółowe mapy mieszkań w 2D.
Każdy robot raportował do serwera co kilka sekund. Laptop Azdoufala zaczął w czasie rzeczywistym katalogować urządzenia z Europy, USA i Azji.
Podgląd z kamery odkurzacza. Co widział laptop Azdoufala?
Najbardziej niepokojące było jednak coś innego. Jak podaje The Verge, Azdoufal twierdzi, że był w stanie:
- uruchomić podgląd wideo ze swojego robota bez podawania PIN-u,
- obserwować transmisję z kamery,
- sprawdzać, jak urządzenie mapuje konkretne pomieszczenia,
- określać przybliżoną lokalizację urządzeń po adresie IP.
Na tym nie koniec. Podczas demonstracji pokazał, że znając 14-cyfrowy numer seryjny, można uzyskać dostęp do danych konkretnego egzemplarza – w tym informacji o tym, który pokój sprząta i jaki ma poziom baterii – pisze The Verge.
Odpowiedź producenta odkurzacza: czy poprawki DJI faktycznie zamknęły lukę?
Po zgłoszeniu sprawy przez Azdoufala i redakcję The Verge producent przyznał, że doszło do problemu z walidacją uprawnień po stronie backendu. DJI poinformowało, że:
- luka została wykryta wewnętrznie pod koniec stycznia,
- wdrożono dwie poprawki (8 i 10 lutego),
- aktualizacja została zastosowana automatycznie,
- komunikacja urządzeń była szyfrowana TLS.
Jednocześnie firma przyznała, że pierwsza poprawka nie objęła wszystkich węzłów serwerowych. DJI zapewnia, że problem został w pełni rozwiązany, jednak Azdoufal uważa, że nie wszystkie wykryte przez niego podatności zostały jeszcze usunięte.
Jeden haker i tysiące mieszkań. czy inteligentny dom to cyfrowa pułapka?
Sytuacja z robotem DJI rodzi to pytania o bezpieczeństwo i prywatność właścicieli urządzeń smart home. Jeśli jeden entuzjasta, korzystając z ogólnodostępnych narzędzi i analizy ruchu sieciowego, był w stanie uzyskać wgląd w tysiące urządzeń na świecie – czy nasze inteligentne domy są naprawdę tak bezpieczne, jak nam się wydaje?
