Szokujący błąd. Entuzjasta chciał sterować swoim robotem odkurzającym za pomocą gamepada, zamiast tego włamał się do tysięcy modeli

Roboty odkurzające z kamerami i połączeniem z internetem mogą w niektórych przypadkach stanowić ryzyko bezpieczeństwa, o czym przekonali się teraz właściciele DJI Romo. Pewien entuzjasta, podczas niewinnej próby sterowania swoim odkurzaczem za pomocą kontrolera do gier, odkrył poważną lukę, która otworzyła mu drzwi do tysięcy urządzeń na całym świecie.

Chciał się tylko pobawić, a uzyskał dostęp do 7 000 odkurzaczy

Jak informuje serwis The Verge, Sammy Azdoufal postanowił zaprogramować aplikację, która umożliwiłaby mu sterowanie jego robotem odkurzającym DJI Romo za pomocą kontrolera do konsoli PlayStation 5. Do inżynierii wstecznej protokołów DJI wykorzystał narzędzie sztucznej inteligencji Claude Code. Kiedy jednak jego aplikacja połączyła się z serwerami producenta, nie tylko jego własny odkurzacz zaczął odpowiadać – zalogowało się około 7 000 urządzeń z całego świata.

Azdoufal odkrył, że może zdalnie sterować cudzymi odkurzaczami, oglądać obraz na żywo z ich kamer i słuchać dźwięku przez zintegrowany mikrofon. Urządzenia przekazywały mu również kompletne plany domów, które stopniowo mapowały. W ciągu zaledwie dziewięciu minut jego narzędzie zarejestrowało 6 700 robotów w 24 krajach i zebrało ponad 100 000 ich wiadomości. Jeśli dodamy do tego przenośne powerbanki DJI Power korzystające z tych samych serwerów, łączna liczba przekroczyła 10 000 urządzeń.

The Verge zleciło weryfikację dostępu

Redakcja The Verge zleciła weryfikację twierdzeń na własnym egzemplarzu recenzenckim. Wystarczyło podać 14-cyfrowy numer seryjny odkurzacza, a Azdoufal był w stanie poprawnie zidentyfikować, że urządzenie sprząta salon i ma 80% baterii. W ciągu kilku minut wygenerował dokładny plan domu redaktora, wpisując jedynie cyfry do laptopa w innym kraju.

Według Azdoufala, aby uzyskać dostęp, nie musiał łamać żadnych zabezpieczeń. Po prostu wyodrębnił prywatny token ze swojego własnego odkurzacza, a serwery DJI automatycznie udostępniły mu dane tysięcy innych użytkowników. „Nie złamałem żadnych zasad, niczego nie ominąłem, nie crackowałem ani nie użyłem siły brute-force,” twierdzi.

DJI twierdziło, że rozwiązało problem – to nie była prawda

Kiedy The Verge skontaktowało się z DJI, firma oświadczyła, że naprawiła lukę już w poprzednim tygodniu. To oświadczenie redakcja otrzymała pół godziny przedtem, zanim Azdoufal w demonstracji na żywo pokazał jej dostęp do tysięcy odkurzaczy, w tym ich egzemplarza recenzenckiego. Dopiero następnego dnia DJI faktycznie załatało lukę.

Firma ostatecznie przyznała się do „problemu z weryfikacją uprawnień na backendzie”, który teoretycznie umożliwiał nieautoryzowany dostęp do wideo na żywo. DJI twierdzi, że dane są szyfrowane za pomocą TLS, ale jak zauważają Azdoufal i badacz bezpieczeństwa Kevin Finisterre, TLS chroni jedynie transmisję danych, a nie ich zawartość wewnątrz serwera. Gdy tylko atakujący uwierzytelni się jako klient, może bez ograniczeń śledzić wiadomości wszystkich urządzeń.

To nie jest odosobniony przypadek

Problemy z bezpieczeństwem robotów odkurzających nie są wyjątkiem. W 2024 roku hakerzy przejęli kontrolę nad odkurzaczami Ecovacs, aby prześladować zwierzęta domowe i wykrzykiwać rasistowskie obelgi. W tym roku władze Korei Południowej odkryły luki w modelach Dreame X50 Ultra, Ecovacs i Narwal, które umożliwiały dostęp do kamer. Natomiast odkurzacze Samsunga, LG i Roborocka wypadły dobrze.

Przypadek DJI Romo ponownie otwiera pytanie, czy roboty odkurzające w ogóle powinny mieć kamery i mikrofony. „To takie dziwne mieć mikrofon w cholernym odkurzaczu,” zauważa Azdoufal. Przynajmniej jedna rzecz go jednak ucieszyła – swój odkurzacz faktycznie steruje za pomocą kontrolera PlayStation.

Czy ufasz robotom odkurzającym z kamerą?

Źródło: The Verge