Hacking accidental la un aspirator robotizat DJI: Un utilizator a preluat controlul asupra a mii de dispozitive
Un incident șocant scoate la iveală vulnerabilități grave de securitate în cazul aspiratorului robotizat DJI Romo. Un utilizator, încercând să conecteze un controler de PlayStation 5 la noul său dispozitiv, a reușit, accidental, să obțină acces la o armată globală de aproape 7.000 de aspiratoare robotizate. Scandalul, raportat de publicații de specialitate, ridică semne de întrebare serioase cu privire la practicile de securitate ale companiei DJI și la protecția datelor utilizatorilor.
Totul a pornit de la o simplă încercare de conectare a unui controler PS5. Proprietarul unui DJI Romo, Sammy Azdoufal, a dezvoltat o aplicație de control la distanță cu ajutorul inteligenței artificiale. Din cauza unor măsuri de securitate precare implementate de serverele DJI, aplicația a depășit barierele de protecție, dar nu a permis doar accesul la propriul dispozitiv. În schimb, utilizatorul a obținut, fără intenția de a încălca legea, „cheile” a aproximativ 6.700 de aspiratoare robotizate răspândite în întreaga lume.
Azdoufal a subliniat că nu a folosit metode de hacking propriu-zise: „Nu am încălcat nicio regulă, nu am ocolit, nu am spart, nu am folosit forța brută, nimic de genul acesta”. Accesul său a fost posibil prin obținerea unui simplu „token” privat al aspiratorului său. Datorită acestui detaliu, el a putut accesa servere „live” din diverse locații, inclusiv SUA, Europa și China.
Date personale expuse: Imagini, sunete și locații
Dincolo de controlul asupra funcțiilor aspiratoarelor, Azdoufal a avut acces și la fluxuri video și audio, precum și la planurile 2D ale locuințelor în care se aflau dispozitivele. Informațiile suplimentare, cum ar fi adresele IP, au permis calcularea locațiilor aproximative ale proprietăților.
Azdoufal a contactat DJI pentru a raporta problema, compania reacționând prin implementarea unor actualizări. Cu toate acestea, deficiențele nu sunt complet remediate. Potrivit lui Azdoufal, există încă posibilitatea de a accesa fluxul video al unui DJI Romo fără a introduce un cod PIN de securitate. Mai mult, o altă problemă majoră, menționată dar nespecificată din motive de securitate, ridică semne de îngrijorare.
Un aspect critic este stocarea datelor în format text simplu, ușor de citit de oricine are acces la server. Aceasta demonstrează o lacună importantă în securitatea datelor. „Un server cu sediul în SUA nu împiedică în niciun fel accesul angajaților DJI din China”, a subliniat cercetătorul în securitate Kevin Finisterre.
Preocupări persistente privind securitatea și confidențialitatea
Incidentul pune sub semnul întrebării siguranța dispozitivelor inteligente pentru casă. Deși DJI a remediat parțial vulnerabilitățile, incidentul nu face decât să amplifice suspiciunile existente cu privire la colectarea de date și potențialul de spionaj. Noile produse DJI sunt, de altfel, interzise în SUA din cauza preocupărilor legate de securitate și de legăturile companiei cu guvernul chinez.
Nu este prima dată când securitatea aspiratoarelor robotizate este pusă la îndoială. Alți producători, precum iLife, Ecovacs și Dreame, au fost în centrul unor controverse similare. Inclusiv branduri mari, precum Wyze și Anker au fost acuzate de ascunderea vulnerabilităților sau de furnizarea de informații false despre securitatea produselor lor.
Azdoufal a subliniat că aspectul bizar al unui aspirator robotizat este dotarea sa cu un microfon. „Este atât de ciudat să ai un microfon pe un aspirator”, a afirmat el. Această remarcă întărește îngrijorările legate de potențialul de supraveghere și colectare de date.
