Zapłacili 2 tys. dol. Potem mogli być podglądani
Programista wykrył błąd w ekosystemie DJI Romo, który umożliwiał dostęp do kamer i mikrofonów ok. 7 tys. urządzeń w 24 krajach. DJI wdrożyło poprawki.
Programista Sammy Azdoufal, tworząc własny kontroler dla odkurzacza DJI Romo, natrafił na błąd w uprawnieniach chmurowych. Ten sam token uwierzytelniający otwierał dostęp do danych wielu robotów, a nie jednego przypisanego urządzenia.
Azdoufal przekazał sprawę redakcji "The Verge", która skontaktowała się z DJI. Producent potwierdził podatność i zapewnił, że już ją naprawił. Luka mogła zamienić roboty w narzędzia podglądu bez wiedzy właścicieli.
Jak działał błąd tokenu
Nieprawidłowa weryfikacja po stronie serwera sprawiała, że token był traktowany jak przepustka właściciela do wielu Romo. To otwierało podgląd na żywo, aktywację mikrofonu, odczyt statusów i tworzenie 2D planów mieszkań. Analiza adresów IP pozwalała też szacować lokalizację.
DJI zidentyfikowało podatność w DJI Home pod koniec stycznia i niezwłocznie rozpoczęło działania naprawcze. Pierwsza łatka została wdrożona 8 lutego, a kolejna 10 lutego. Naprawa trafiła do użytkowników automatycznie - podał magazyn "Popular Science".
Reakcja DJI i zapowiedź wzmocnień
DJI zapowiedziało "kolejne wzmocnienia bezpieczeństwa", nie ujawniając szczegółów. Azdoufal podkreślił, że nie włamywał się do systemów. Wykrył błąd w trakcie prac nad aplikacją i nie wykorzystywał go do uzyskiwania danych.
Popular Science przypomina o narastających obawach wobec smart home. Dyskutowano m.in. o funkcji Ring "search party" czy o materiale z Nest Doorbell, który Google udostępniło na potrzeby śledztwa.
Szerszy kontekst: prywatność w smart home
W USA politycy obu partii ostrzegają przed ryzykami związanymi z częścią chińskich producentów. Choć dowody bywają niejednoznaczne, na tej podstawie wprowadzano zakazy wybranych produktów. Spór dotyczy bezpieczeństwa danych z domów.
Robo-odkurzacze i asystenci domowi działają w prywatnych przestrzeniach. Według Parks Associates w 2020 r. ok. 54 mln gospodarstw w USA miało co najmniej jedno urządzenie smart home. Rosnący rynek zwiększa wagę cyberbezpieczeństwa.
DJI Romo: cena i możliwości
DJI Romo zadebiutował w Chinach w ubiegłym roku i trafia na kolejne rynki. Urządzenie kosztuje ok. 2 tys. dol., ma stację dokującą i liczne czujniki. Pracuje autonomicznie, ale umożliwia zdalne sterowanie z aplikacji.
