Podsłuch i kamerka w domowych robo-odkurzaczach? Haker znalazł sposób
Społeczeństwo

Podsłuch i kamerka w domowych robo-odkurzaczach? Haker znalazł sposób

Przez Tomasz Kropiwnicki

W dzisiejszych czasach, gdy inteligentne urządzenia stają się integralną częścią naszych domów, granica między wygodą a całkowitą utratą prywatności staje się niebezpiecznie cienka. Historia Sammy’ego Azdoufala, który postanowił zhakować swój nowy odkurzacz DJI Romo, aby sterować nim za pomocą kontrolera do PS5, jest doskonałym przykładem na to, jak kruche są zabezpieczenia w świecie Internetu Rzeczy.

Zamiast niewinnej zabawy z gadżetem młody programista niechcący otworzył cyfrowe drzwi do tysięcy mieszkań na całym świecie. Wykorzystując narzędzia oparte na sztucznej inteligencji, Azdoufal zdołał przeanalizować protokoły komunikacyjne urządzenia, co doprowadziło go do szokującego odkrycia. Okazało się, że token autoryzacyjny, który powinien zapewniać dostęp wyłącznie do jego własnego urządzenia, dawał mu w rzeczywistości uprawnienia administratora nad całą flotą robotów DJI.

Niebezpieczna luka w domowym zaciszu

W ciągu zaledwie dziewięciu minut od uruchomienia swojej autorskiej aplikacji Azdoufal uzyskał połączenie z ponad 6,7 tys. urządzeń rozsianych w 24 krajach. Skala problemu była porażająca, ponieważ haker mógł nie tylko zdalnie sterować odkurzaczami, ale także uzyskiwać dostęp do obrazu z kamer oraz dźwięku z mikrofonów w czasie rzeczywistym. Eksperyment przeprowadzony na urządzeniu znajomego potwierdził najgorsze obawy, czyli możliwość podglądania prywatnego życia użytkowników bez ich wiedzy i zgody. Dodatkowo system pozwalał na generowanie kompletnych planów mieszkań w formacie 2D, co w rękach przestępców mogłoby posłużyć jako idealne narzędzie do planowania włamań. Każdy robot co trzy sekundy wysyłał pakiety danych zawierające swój numer seryjny, status baterii, a nawet dokładne informacje o przeszkodach napotkanych w salonie czy sypialni.

Błędy w komunikacji z chmurą

Techniczne podłoże tej luki bezpieczeństwa obnaża rażące zaniedbania po stronie producenta, który dopiero co wszedł na rynek robotów sprzątających. Problemem okazała się błędna konfiguracja serwera MQTT, czyli popularnego protokołu służącego do przesyłania wiadomości między urządzeniami IoT a chmurą. Serwer ten nie posiadał odpowiednich mechanizmów kontroli uprawnień na poziomie konkretnych tematów komunikacyjnych. W praktyce oznaczało to, że po uwierzytelnieniu się za pomocą jednego poprawnego tokena, użytkownik zyskiwał wgląd w cały ruch sieciowy innych urządzeń.

Eksperci do spraw cyberbezpieczeństwa zwracają uwagę, że tego typu błędy są wynikiem priorytetyzowania szybkości wdrażania produktów nad ich rzetelnym testowaniem pod kątem bezpieczeństwa. Co gorsza, producenci często zapominają o podstawowej zasadzie izolacji danych użytkowników w chmurze.

Prywatność warta tysiące dolarów

Reakcja firmy DJI na zgłoszenie problemu przez redakcję The Verge była początkowo dość chaotyczna i niepełna. Rzeczniczka firmy, Daisy Kong, twierdziła, że luka została załatana już wcześniej, podczas gdy Azdoufal wciąż demonstrował dziennikarzom aktywny dostęp do tysięcy urządzeń na żywo. Ostatecznie producent musiał wypuścić dwie serie poprawek, aby skutecznie zablokować nieautoryzowany dostęp. Sytuacja ta rzuca cień na zaufanie do inteligentnych urządzeń domowych, zwłaszcza że cena DJI Romo sięga blisko 1 tys. USD, co powinno sugerować produkt klasy premium również w aspekcie cyfrowej ochrony. To nie pierwszy raz, gdy urządzenia sprzątające stają się narzędziem inwigilacji, co przypomina o incydencie, kiedy to hakerzy przejęli kontrolę nad głośnikami w robotach innej marki. W świecie aktywów cyfrowych, gdzie Bitcoin jest synonimem bezpieczeństwa, a Ethereum napędza smart kontrakty, użytkownicy oczekują podobnej staranności w ochronie swoich mieszkań przed nieproszonymi gośćmi.ami, jak i bezpieczeństwem w sieci.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Tomasz Kropiwnicki

Absolwent Wydziału Prawa Uniwersytetu w Białymstoku. Dziennikarz od 2004 roku. Przez wiele lat związany z sektorem nieruchomości, gdzie zajmował się analizą rynku, oceną ryzyka oraz doradztwem dla klientów indywidualnych i biznesowych.

Od ponad 6 lat obecny w sektorze kryptoaktywów i metali szlachetnych – jako copywriter i analityk rynku, specjalizujący się w tematyce finansowej i nieruchomości, oraz prywatnie jako inwestor indywidualny. W swoich materiałach koncentruje się na analizie bieżącej sytuacji rynkowej, czynników wpływających na ceny aktywów oraz rzetelnym informowaniu czytelników o najważniejszych wydarzeniach z Polski i ze świata.

Zostaw komentarz