Viděl videa z cizích domácností a moje je i ovládat. Uživatel omylem získal přístup k tisícům robotických vysavačů DJI

Chytrá robotika, Chytrá zařízení| Žádné komentáře|

Kutil si chtěl zpříjemnit ovládání vysavače herním ovladačem. Nakonec měl v ruce klíče k více než šesti tisícům přístrojů rozesetých po celém světě. Mohl se tak snadno dostat k živým záběrům z domácností jejich majitelů.

Kutil a AI nadšenec Sammy Azdoufal si pořídil robotický vysavač DJI Romo a rozhodl se ho trochu „vytunit“. Cíl byl prostý: napsat aplikaci, která mu umožní ovládat přístroj pomocí ovladače od PlayStationu. K tomu potřeboval rozlousknout komunikační protokol, jímž vysavač hovoří se servery DJI. Použil k tomu Claude Code a pustil se do reverzního inženýrství.

Výsledek ho zaskočil.

Obrázek: Viděl videa z cizích domácností a moje je i ovládat. Uživatel omylem získal přístup k tisícům robotických vysavačů DJI

Foto: Redakce inSmart.cz

Místo do vlastního vysavače získal přístup k 6 700 cizím

Aplikace fungovala. Jenže neomezila přístup jen na jeho vlastní přístroj. Azdoufal zjistil, že má k dispozici tokeny a data tisíců dalších zařízení, konkrétně přes 6 700 robotických vysavačů DJI Romo rozmístěných v USA, Evropě a dokonce i v Číně. A s tím i přístup k velmi citlivým věcem: přesným půdorysům bytů, živým záběrům z kamer a mikrofonů těchto přístrojů.

Sám přitom zdůrazňuje, že neudělal nic nezákonného. „Neporušil jsem žádná pravidla, neobcházel jsem nic, nevyužíval jsem hrubou sílu,“ řekl serveru The Verge. Prostě získal přístupový token svého vlastního zařízení. A systém DJI mu dal všechno ostatní bez dalších otázek.

Obrázek: Viděl videa z cizích domácností a moje je i ovládat. Uživatel omylem získal přístup k tisícům robotických vysavačů DJI

DJI Romo má netradiční průhledný design. Foto: Redakce inSmart.cz

Tohle je zásadní rozdíl oproti klasickému hackerskému útoku. Chyba nebyla v tom, že by byl systém prolomen zvenčí. Chyba je v samotném návrhu systému a mizerném zabezpečení na straně DJI.

Skutečný problém: data v plaintextu

Azdoufal nesdílel podrobnosti jen proto, aby upozornil na díru. Poukázal taky na hlubší strukturální problém. Šifrování komunikace mezi vysavačem a servery DJI sice existuje, ale všechna data jsou už na serverech uložena v prostém textu, bez dalšího zabezpečení. Kdokoli, kdo by se dostal na server, si vše může jednoduše stáhnout a analyzovat.

Přesně tohle by mělo všechny uživatele IoT zařízení znepokojit víc než samotná zranitelnost. Nešlo o sofistikovaný útok. Šlo o náhodu jednoho kutila s dobrými úmysly.

Obrázek: Viděl videa z cizích domácností a moje je i ovládat. Uživatel omylem získal přístup k tisícům robotických vysavačů DJI

V Číně jsme jej viděli už před vstupem na globální trh. Foto: Redakce inSmart.cz

DJI na nahlášenou chybu zareagovalo a vydalo aktualizace, které nevyžadují žádnou akci ze strany uživatelů. Nicméně Azdoufal upozorňuje, že dva problémy stále přetrvávají. Jeden z nich je natolik závažný, že odmítl zveřejnit podrobnosti. Jedním z otevřených problémů je možnost streamovat živý obraz z kamery vysavače DJI Romo bez zadání bezpečnostního PINu.

Robotické vysavače a soukromí: opakující se problém

Nejde přitom o ojedinělý případ. Loni se veřejnosti svěřil jeden uživatel s tím, že jeho robotický vysavač iLife A11 průběžně odesílal telemetrická data a logy výrobci. Když komunikaci přes domácí síť zablokoval, výrobce mu přístroj vzdáleně deaktivoval. Poslal mu tzv. killcode a vysavač se proměnil v mrtvý kus plastu. Uživatel ho nakonec s trochou šikovnosti oživil a provozuje lokálně bez cloudu. Celý příběh přitom jasně ukázal jedno: cloudové připojení u robotického vysavače není technická nutnost. Je to volba výrobce a uživatele.

A právě tato volba přináší rizika, která si průměrný kupující málokdy uvědomí. Kupujete chytrý přístroj, který mapuje váš byt, má kameru a mikrofon, a komunikuje se servery někde ve světě. Jak jsou ta data zabezpečená? Kdo k nim má přístup? Co se stane, když někdo jako Azdoufal narazí na podobnou díru?

Obrázek: Viděl videa z cizích domácností a moje je i ovládat. Uživatel omylem získal přístup k tisícům robotických vysavačů DJI

Kamery, mikrofony, radary. Robotický vysavač se dokáže proměnit v ideální šmírovací zařízení. Foto: Redakce inSmart.cz

Azdoufal se zachoval zodpovědně. Problém nahlásil, data nikoho nezneužil, počkal na opravu. Ale jak sám říká, pokud tohle dokáže náhodou odhalit jeden člověk při kutilském projektu, co by dokázal skutečný útočník s cílenou snahou škodit?

Bezpečnostní výzkumníci opakovaně varují, že IoT zařízení jsou nejslabším článkem domácích sítí. Jsou levná, mají dlouhou životnost, výrobci pro ně přestávají vydávat aktualizace a uživatelé je nijak nekontrolují. Robotický vysavač přitom není jen „věc co vysává“. Dnes už je to zařízení s kamerou, mikrofonem a přesnou mapou vašeho bytu. A jak tahle kauza ukazuje, jeho zabezpečení nemusí být ani zdaleka na takové úrovni, jakou by si zasloužilo.

Zdroj: The Verge, redakce inSmart.cz

O autorovi

Lukáš Voříšek

Odborný redaktor specializující se na AI, chytrá zařízení, mobilní technologie a kybernetickou bezpečnost. Prošel redakcemi technických magazínů Stahuj.cz, PCTuning a CDR.

Odebírat
Upozornit na
guest
0 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

V remaku původní trilogie série God of War mají být změny v soubojích
God of War se vrací do Řecka, studio Santa Monica oznámilo remake původní trilogie
Obrázek: Zalando v éře umělé inteligence: AI pomáhá s tvorbou obsahu i ve virtuálním šatníku (reportáž)
Zalando v éře umělé inteligence: AI pomáhá s tvorbou obsahu i ve virtuálním šatníku (reportáž)
Elon Musk snil o Marsu, teď se zaměřil na Měsíc
Datová centra a obří katapult. Musk chce dostat umělou inteligenci na Měsíc
Obrázek: Rusové jsou bez Starlinku bezradní. Vlastní náhradu nemají a nutí Ukrajince registrovat terminály
Rusové jsou bez Starlinku bezradní. Vlastní náhradu nemají a nutí Ukrajince registrovat terminály
Obrázek: Změňte si svůj trapný e-mail ze střední školy, Gmail to konečně umožní
Změňte si svůj trapný e-mail ze střední školy, Gmail to konečně umožní
Obrázek: Vybere si každý, i s nízkým rozpočtem. Vybrali jsme nejzajímavější herní notebooky
Vybere si každý, i s nízkým rozpočtem. Vybrali jsme nejzajímavější herní notebooky
Obrázek: Češi, pozor na falešné e-shopy, bazary a podvodné SMS. Jak na bezpečné vánoční nákupy?
Češi, pozor na falešné e-shopy, bazary a podvodné SMS. Jak na bezpečné vánoční nákupy?
Obrázek: Recenze AI překladače Timekettle W4: Zkusili jsme mluvit česky v Číně a fungovalo to
Recenze AI překladače Timekettle W4: Zkusili jsme mluvit česky v Číně a fungovalo to