Jeden španělský inženýr se rozhodl, že bude ovládat svůj robotický vysavač DJI Romo prostřednictvím gamepadu herní konzole Playstatin 5. Jaké bylo jeho překvapení, když bez jakéhokoliv hackování dostal k údajům z tisíce dalších zařízení, sdělil serveru The Verge.
„Mohl je dálkově ovládat, dívat se a poslouchat jejich živý přenos z kamer a mohl také sledovat, jak mapují každou místnost domu a vytvářejí kompletní 2D půdorys. Mohl by použít IP adresu každého z nich, aby našel jeho přesnou polohu,“ píše server o jeho prvotním zjištění.
Když následně tento španělský inženýr Sammy Azdoufal ukázal podrobnosti redaktorovi serveru, ten se nestačil divit. Spolu s ním oba viděli tisíce přihlášených robotů, které každé tři sekundy odesílaly na servery datové pakety MQTT s informacemi jako své sériové číslo, které místnosti uklízejí, co viděly, jak dalekou trasu urazily, kdy se vrátí k nabíječce a jaké překážky potkaly po cestě.
„Sledoval jsem, jak se každý z těchto robotů pomalu objevuje na mapě světa. Devět minut po zahájení Azdoufalův notebook již katalogizoval 6 700 zařízení DJI ve 24 různých zemích a shromáždil přes 100 000 jejich zpráv. Pokud přidáte dobíjecí stanice DJI Power, které také odesílají datana stejné servery, měl Azdoufal přístup k více než 10 000 zařízením,“ píše redaktor server The Verge.
Dokonce se dostal k datům z vysavače kolegy novináře, který právě toto zařízení testoval, a vedle řady dalších dat robot získal i přesný 2D plán jeho bytu. Následně získal přístup k videopřenosu Azdoufalova vysavače, aniž by bylo třeba zadávat bezpečnostní PIN.
To se mu povedlo jednoduše tím, že extrahoval svůj vlastní soukromý token DJI Romo. To je klíč, který serverům DJI sděluje, že máte přístup ke svým vlastním datům. Tyto servery mu pak poskytly také data tisíců dalších lidí.
„Ukazuje mi, že má přístup k předprodukčnímu serveru DJI, stejně jako k živým serverům pro USA, Čínu a EU,“ uzavírá redaktor.
Po oslovení společnosti DJI firma uvedla, že vše opravila a Sammy Azdoufal už se k těmto datům nedostal. Přesto zůstává otázkou, zda věřit tomu, že data z podobných zařízení se neobjeví nikde veřejně nebo je nebudou zneužívat vládní agentury a soukromé firmy. Zvláště když to není první případ. Bezpečnostní incidenty již zaznamenala řada výrobců jako Ecovacs, Dreame, Narwal a další.
Hackeři napadli robotické vysavače. Ty zdivočely a začaly sprostě nadávat |
A redaktor se také ptá, proč vůbec mají soukromé vysavače mikrofon.
Bezpečnost těchto dat by měla být pro podobné firmy prioritou i proto, že jsou pro hackery vítaným zdrojem dat, která mohou být využita třeba k vydírání. Ale patrně prioritou nejsou vždy, některé objevené chyby údajně DJI ještě neopravila.
Nikdo by si tak neměl být jistý, že kamery a mikrofony napojené na internet v domácnostech nemohou být zneužity přímo při cíleném hackerském útoku nebo prostřednictvím chyb v zabezpečení jejich výrobců. Případy, jako jsou uniklé obrázky ženy, která sedí na záchodě, byť z vývojové verze zařízení, vyvolávají otázky, kolik toho o vás váš robotický vysavač ví.
Server We Live Security doporučuje zvážit při koupi chytrého vysavače následující body:
|
