Aspiratorul-robot chinezesc, vulnerabil la atacuri: un inginer IT a preluat controlul asupra a mii de dispozitive
Un incident alarmant a scos la iveală vulnerabilități majore de securitate în modelul de aspirator-robot Romo, produs de compania chineză DJI. Un inginer IT a descoperit, accidental, că putea controla de la distanță mii de astfel de aparate, având acces la date private ale utilizatorilor din cel puțin 24 de țări. Ce a început ca un simplu experiment tehnic s-a transformat rapid într-o demonstrație a riscurilor asociate dispozitivelor conectate la internet.
Totul a pornit de la dorința inginerului, Sammy Azdoufal, de a controla aspiratorul-robot cu ajutorul unui controller de PlayStation. În încercarea de a înțelege modul în care dispozitivul interacționează cu serverele producătorului, acesta a descoperit o eroare de securitate gravă. Sistemul de autentificare folosea un „token” digital, însă procesul de autorizare era deficitar, permițând accesul neautorizat la funcțiile și datele aspiratoarelor. Fără să spargă parole sau să compromită sistemul, Azdoufal a primit acces la aproximativ 7.000 de astfel de aparate.
Acces la camere, microfoane și planuri ale locuințelor
Vulnerabilitatea a permis inginerului să acceseze date sensibile, cum ar fi fluxuri video live de la camerele încorporate, să activeze microfoanele și să obțină planurile locuințelor. Mai mult, aparatul colecta informații despre locația geografică a aspiratoarelor, oferind o imagine detaliată a vieții private a utilizatorilor. „Problema nu consta în procesul de autentificare, ci în cel de autorizare,” a explicat inginerul, subliniind gravitatea situației. Practic, un potențial atacator ar fi putut monitoriza locuințele fără știrea proprietarilor.
Azdoufal a subliniat că nu a utilizat datele în scopuri malițioase și a informat imediat compania DJI despre breșa de securitate. Informația a atras atenția, generând rapid reacții în mediul online, cu comentarii precum „Oupss”, însoțite de capturi de ecran ale accesului neautorizat.
Reacția DJI și implicațiile pentru securitatea datelor
Compania DJI a recunoscut existența vulnerabilității și a lansat o actualizare pentru a remedia eroarea de autorizare. Producătorul a asigurat faptul că a întărit protocoalele de securitate, deși evaluări independente sugerează că soluționarea completă a problemei ar putea fi un proces mai îndelungat decât s-a comunicat oficial.
Incidentul readuce în discuție pericolele asociate dispozitivelor conectate permanent la internet. Aspiratoarele automate, camerele inteligente și asistenții vocali colectează informații private, iar vulnerabilitățile pot avea efecte grave asupra vieții personale. Pe măsură ce inteligența artificială se integrează tot mai mult în viața de zi cu zi, experții avertizează că astfel de incidente ar putea deveni mai frecvente.
Descoperirea vine ca un avertisment clar privind securitatea dispozitivelor pe care le integrăm în locuințele noastre. În timp ce, de data aceasta, eroul a fost un utilizator cu intenții bune, incidentul subliniază fragilitatea protecției datelor în era tehnologiei. Este un semnal de alarmă pentru toți utilizatorii și un apel la vigilență sporită din partea producătorilor în ceea ce privește securitatea produselor lor.
