Przypadkiem przejął tysięce kamer w odkurzaczach domowych. Potężna wpadka chińskiego producenta

Poważna luka bezpieczeństwa w robotach sprzątających DJI Romo ujrzała światło dzienne w dość niecodziennych okolicznościach. Błąd został odkryty przypadkiem przez entuzjastę technologii, który stworzył aplikację pozwalającą sterować własnym urządzeniem za pomocą kontrolera PlayStation

Nieautoryzowany dostęp obejmował możliwość pobierania dokładnych planów mieszkań, podgląd transmisji z kamery i mikrofonu w czasie rzeczywistym oraz zdalne sterowanie podatnymi urządzeniami. W praktyce oznaczało to, że osoba posiadająca odpowiedni token mogła uzyskać dostęp do infrastruktury obsługującej tysiące robotów na całym świecie.

Odkrycie przez przypadek

Autorem odkrycia jest inżynier Sammy Azdoufal. Wykorzystał narzędzie Claude Code do odtworzenia protokołu komunikacyjnego stosowanego przez DJI Romo w kontaktach z serwerami producenta. Jego celem było wyłącznie przejęcie kontroli nad własnym urządzeniem. Zamiast tego uzyskał dostęp do około 6700 robotów działających w różnych regionach świata, w tym w Stanach Zjednoczonych, Europie i Chinach.

Azdoufal podkreślał, że nie przeprowadził włamania w klasycznym rozumieniu tego słowa. Użył prywatnego tokenu przypisanego do jego własnego odkurzacza. System autoryzacji pozwolił mu jednak przeglądać dane innych użytkowników oraz komunikować się z serwerami produkcyjnymi.

Skala incydentu nudzi uzasadnione obawy o architekturę zabezpieczeń oraz o sposób przechowywania i przetwarzania danych. Według relacji badacza sedno problemu nie leży w szyfrowaniu transmisji między urządzeniem a serwerem, lecz w fakcie, że dane po stronie serwera były przechowywane w postaci jawnej.

Reakcja producenta i wciąż otwarte kwestie

Po zgłoszeniu problemu firma DJI wdrożyła serię aktualizacji, które zostały rozesłane bez konieczności ingerencji użytkowników. Luka umożliwiająca szeroki dostęp została załatana. Azdoufal twierdzi jednak, że część zagadnień pozostaje nierozwiązana.

Wśród nich wymienia możliwość strumieniowego przesyłania obrazu z robota bez użycia kodu PIN oraz inny problem, którego szczegóły nie zostały ujawnione ze względu na jego wagę. Te elementy sugerują, że architektura systemu nadal wymaga gruntownego przeglądu.

To nie pierwszy taki przypadek

Incydent z DJI Romo wpisuje się w szerszy kontekst wątpliwości dotyczących bezpieczeństwa urządzeń IoT. W ubiegłym roku inżynier analizujący działanie modelu iLife A11 odkrył, że urządzenie regularnie przesyła logi i dane telemetryczne do producenta. Po zablokowaniu komunikacji sieciowej producent zdalnie dezaktywował sprzęt, wysyłając kod zabezpieczający unieruchamiający robota.

Dopiero samodzielne modyfikacje oprogramowania pozwoliły przywrócić urządzenie do działania w trybie lokalnym. Przypadek ten pokazał, jak głęboko zakorzeniona jest zależność inteligentnych urządzeń od infrastruktury chmurowej.

Prywatność pod znakiem zapytania

Roboty sprzątające nowej generacji wyposażone są w kamery, mikrofony i systemy mapowania pomieszczeń. Zbierają szczegółowe dane dotyczące układu mieszkań, harmonogramów sprzątania i obecności domowników. W sytuacji, gdy dostęp do tych informacji można uzyskać przy użyciu pojedynczego tokenu, problem przestaje być czysto techniczny.

Badacze bezpieczeństwa podkreślają, że jeśli jedna osoba, działająca bez złych intencji, mogła uzyskać dostęp do infrastruktury obejmującej tysiące urządzeń, to zorganizowana grupa mogłaby wykorzystać podobną lukę w sposób znacznie bardziej agresywny.