Aspiratorul robot care spiona 7.000 de case: un defect periculos, descoperit întâmplător
Un inginer IT a descoperit o vulnerabilitate majoră în modelul Romo al aspiratorului robot DJI, permițându-i să controleze de la distanță peste 7.000 de astfel de dispozitive. Defectul permitea accesul neautorizat la camerele video, microfoane și hărțile digitale ale locuințelor utilizatorilor, ridicând semnale de alarmă cu privire la securitatea dispozitivelor conectate la internet. Descoperirea a avut loc în timp ce inginerul testa compatibilitatea aspiratorului cu un controller de PlayStation.
Cum a fost exploatată vulnerabilitatea
Sammy Azdoufal, inginerul care a făcut descoperirea, a încercat să controleze aspiratorul robot cu un joystick, investigând modul în care dispozitivul interacționa cu serverele producătorului. Cercetările au scos la iveală o problemă gravă: sistemul de autorizare folosit de DJI. „Problema nu consta în procesul de autentificare, ci în cel de autorizare”, se arată în relatare. Serverele companiei au permis inginerului acces la mii de dispozitive, fără a fi nevoie să spargă vreo parolă sau să compromită vreun sistem.
Accesul neautorizat oferea posibilitatea de a vizualiza fluxuri video live de la camerele încorporate, de a activa microfoanele și de a accesa planurile detaliate ale locuințelor, inclusiv informații despre localizarea geografică a aparatelor. Azdoufal a subliniat că nu a utilizat sistemul în mod malițios și a informat imediat compania despre vulnerabilitate. Postarea sa pe Twitter, în care a anunțat descoperirea, a stârnit rapid valuri de reacții în mediul online.
Reacția DJI și implicațiile pentru securitate
Compania DJI a recunoscut problema și a lansat o actualizare automată pentru remedierea erorii de autorizare. Producătorul a declarat că a întărit protocoalele de securitate, deși evaluările independente sugerează că rezolvarea completă ar fi necesitat mai mult timp. Evenimentul readuce în discuție riscurile asociate cu aparatele conectate la internet. Aspiratoarele automate, camerele inteligente și asistenții vocali colectează date private, iar vulnerabilitățile pot avea consecințe serioase asupra vieții personale.
Pe măsură ce inteligența artificială devine mai prezentă în locuințe, specialiștii avertizează că astfel de incidente ar putea deveni mai frecvente. În cazul de față, eroarea a fost descoperită de o persoană cu bune intenții. Totuși, incidentul arată cât de fragilă poate fi protecția dispozitivelor inteligente pe care le utilizăm acasă. Analiștii sugerează că utilizatorii ar trebui să fie prudenți și să acorde atenție sporită securității datelor lor personale, în contextul omniprezenței tehnologiei inteligente.
