Aspiratorul-robot controlat cu joystick a scos la iveală o breșă de securitate majoră: Mii de locuințe, potențial monitorizate
Un simplu experiment, menit să ofere o experiență de utilizare mai intuitivă, a dezvăluit o vulnerabilitate periculoasă în sistemul aspiratoarelor robotizate. Un inginer IT a descoperit că putea controla, prin intermediul unui controller de PlayStation, nu doar propriul aspirator, ci și alte aproximativ 7.000 de astfel de dispozitive, răspândite în cel puțin 24 de țări. Defectul, legat de modelul Romo al producătorului chinez DJI, permitea accesul neautorizat la camerele video, microfoane și hărțile digitale ale locuințelor utilizatorilor.
De la joacă la control total: O breșă de securitate la îndemâna oricui
Totul a început ca o încercare de a interacționa mai ușor cu aspiratorul robot. Inițial, inginerul IT, Sammy Azdoufal, a dorit să folosească un joystick pentru a manevra aparatul de curățenie. Astfel, a început să analizeze modul în care dispozitivul comunica cu serverele producătorului. Aspiratorul Romo, lansat recent de DJI – companie cunoscută mai ales pentru drone – funcționează printr-o aplicație pentru mobil, trimițând informații către serverele corporative pentru administrarea funcționalităților și stocarea datelor.
Problema, însă, nu a fost în procesul de autentificare, ci în cel de autorizare. Sistemul, bazat pe un token digital pentru identificare, a permis ca Azdoufal să fie identificat ca proprietar al miilor de dispozitive. „Practic i-au acordat privilegii extinse fără să fi spart vreo parolă sau să fi compromis vreun sistem”, explică analiza evenimentului. Cu alte cuvinte, o simplă „găselniță” a dus la controlul a mii de aspiratoare, fără a fi nevoie de cunoștințe avansate de hacking.
Camere, microfoane și planuri ale locuințelor: Datele personale expuse
Consecințele acestei breșe de securitate erau extrem de serioase. Accesul obținut de Azdoufal includea posibilitatea de a vizualiza date personale sensibile. De la fluxuri video live ale camerelor încorporate, până la activarea microfoanelor destinate comenzilor vocale, posibilitățile de abuz erau nelimitate. Mai mult, sistemul oferea acces la schițe detaliate ale interiorului locuințelor și informații precise despre poziționarea geografică a aparatelor. „Practic, această vulnerabilitate majoră ar fi permis monitorizarea caselor fără știrea proprietarilor”, dezvăluie cercetarea.
Din fericire, inginerul a acționat responsabil, informând imediat compania despre descoperirea sa. El a subliniat că nu a utilizat sistemul în mod malițios, dorind doar să înțeleagă funcționarea dispozitivului. Gestul său a evidențiat, însă, cât de vulnerabile pot fi dispozitivele inteligente pe care le integrăm în viața de zi cu zi.
DJI răspunde, dar pericolul persistă: Un semnal de alarmă pentru toți utilizatorii
Compania DJI a recunoscut rapid existența vulnerabilității și a lansat o actualizare automată pentru remedierea erorii de autorizare. Producătorul a asigurat că a întărit protocoalele de securitate, deși anumite evaluări independente sugerează că rezolvarea completă a problemei ar fi necesitat mai mult timp decât s-a comunicat oficial.
Evenimentul readuce în discuție riscurile asociate cu echipamentele permanent conectate la rețea. Aspiratoarele automate, camerele inteligente și asistenții vocali colectează cantități impresionante de date private. Punctele slabe pot genera efecte grave asupra vieții personale, de la încălcarea intimității până la potențiale atacuri cibernetice.
Pe măsură ce inteligența artificială pătrunde tot mai mult în locuințe, specialiștii avertizează că astfel de incidente ar putea deveni mai frecvente. Deși în acest caz descoperirea a aparținut unui utilizator cu intenții bune, episodul subliniază fragilitatea protecției dispozitivelor inteligente și importanța unei abordări proactive în ceea ce privește securitatea cibernetică.
