DJI Romo: Modder używa kontrolera PS5 do sterowania odkurzaczem robota, uzyskuje dostęp do 7000 kamer robota

DJI Romo to pierwszy robot odkurzający znanego producenta dronów. Dzięki uderzającej przezroczystej konstrukcji robot wyróżnia się na tle konkurencji, ale ochrona przed cyberatakami najwyraźniej nie była priorytetem podczas opracowywania. Jak donosi The Verge klient przypadkowo zhakował około 7000 urządzeń DJI Romo na całym świecie.

Sammy Azdoufal początkowo chciał po prostu kontrolować swój robot odkurzający za pomocą kontrolera PlayStation dla zabawy. Niestandardowa aplikacja do zdalnego sterowania miała kontrolować robota za pośrednictwem serwerów DJI. Ale zamiast kontrolować tylko jego własny DJI Romo, serwer przyznał deweloperowi dostęp do wszystkich prawie 7000 jednostek DJI Romo, które były aktywne w tym czasie. Co bardziej niepokojące, deweloper mógł nie tylko kontrolować roboty, ale także uzyskać dostęp do ich mikrofonów i głośników, co praktycznie dało mu dostęp na żywo do tysięcy domów.

Za pomocą adresu IP można było określić przybliżoną lokalizację każdego robota, a roboty mogły nawet generować mapy pomieszczeń. Programista powiedział, że nie musiał łamać żadnych zasad ani omijać ograniczeń bezpieczeństwa, aby uzyskać tego rodzaju dostęp. Zamiast tego serwery DJI akceptowały token z pojedynczego DJI Romo jako uwierzytelnienie w celu uzyskania dostępu do danych wszystkich jednostek DJI Romo. DJI naprawiło tę poważną lukę w zabezpieczeniach w środę, 11 lutego. Niemniej jednak incydent ten ilustruje, jak wiele danych osobowych może gromadzić inteligentne urządzenie domowe, takie jak robot odkurzający, i jak poważna może być tego rodzaju wada, jeśli zostanie wykorzystana przez atakującego.