Programista chciał jedynie sterować swoim nowym odkurzaczem za pomocą pada od PlayStation 5. Po podłączeniu się do sieci producenta odkrył, że zamiast własnego urządzenia, na jego ekranie pojawiły się dane, mapy mieszkań i podgląd z kamer 7000 robotów z całego świata. Czy twój inteligentny dom jest bezpieczny? Sprawdzamy szczegóły tego odkrycia.
Zamiast sprzątać, szpiegował? Jak Sammy Azdoufal „zhakował” robota sprzątającego DJI
Sammy Azdoufal zhakował odkurzacz samojeżdżący chińskiego producenta – donosi serwis The Verge. W rzeczywistości – jak sam twierdzi – nie włamywał się na żadne serwery. Jak zapewniał chciał jedynie sterować swoim nowym robotem za pomocą pada od PlayStation 5. W tym celu stworzył własną aplikację i zaczął analizować, w jaki sposób urządzenie komunikuje się z chmurą producenta.
7000 odkurzaczy na jednym ekranie. Dane z całego świata w rękach programisty
Co ciekawe, gdy jego aplikacja połączyła się z infrastrukturą DJI – producenta robota, odpowiedział nie tylko jego własny odkurzacz. W ciągu kilku minut do jego komputera zaczęły „meldować się” tysiące urządzeń z całego świata. Jak donosi serwis, około 7000 robotów z 24 krajów wysyłało regularnie dane:
- numery seryjne,
- status sprzątania,
- poziom baterii,
- informacje o przeszkodach,
- szczegółowe mapy mieszkań w 2D.
Każdy robot raportował do serwera co kilka sekund. Laptop Azdoufala zaczął w czasie rzeczywistym katalogować urządzenia z Europy, USA i Azji.
Podgląd z kamery odkurzacza. Co widział laptop Azdoufala?
Najbardziej niepokojące było jednak coś innego. Jak podaje The Verge, Azdoufal twierdzi, że był w stanie:
- uruchomić podgląd wideo ze swojego robota bez podawania PIN-u,
- obserwować transmisję z kamery,
- sprawdzać, jak urządzenie mapuje konkretne pomieszczenia,
- określać przybliżoną lokalizację urządzeń po adresie IP.
Na tym nie koniec. Podczas demonstracji pokazał, że znając 14-cyfrowy numer seryjny, można uzyskać dostęp do danych konkretnego egzemplarza – w tym informacji o tym, który pokój sprząta i jaki ma poziom baterii – pisze The Verge.
Odpowiedź producenta odkurzacza: czy poprawki DJI faktycznie zamknęły lukę?
Po zgłoszeniu sprawy przez Azdoufala i redakcję The Verge producent przyznał, że doszło do problemu z walidacją uprawnień po stronie backendu. DJI poinformowało, że:
- luka została wykryta wewnętrznie pod koniec stycznia,
- wdrożono dwie poprawki (8 i 10 lutego),
- aktualizacja została zastosowana automatycznie,
- komunikacja urządzeń była szyfrowana TLS.
Jednocześnie firma przyznała, że pierwsza poprawka nie objęła wszystkich węzłów serwerowych. DJI zapewnia, że problem został w pełni rozwiązany, jednak Azdoufal uważa, że nie wszystkie wykryte przez niego podatności zostały jeszcze usunięte.
Jeden haker i tysiące mieszkań. czy inteligentny dom to cyfrowa pułapka?
Sytuacja z robotem DJI rodzi to pytania o bezpieczeństwo i prywatność właścicieli urządzeń smart home. Jeśli jeden entuzjasta, korzystając z ogólnodostępnych narzędzi i analizy ruchu sieciowego, był w stanie uzyskać wgląd w tysiące urządzeń na świecie – czy nasze inteligentne domy są naprawdę tak bezpieczne, jak nam się wydaje?
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu