Propust u sistemu kineskog proizvođača DJI omogućio je jednom vlasniku pristup kamerama i mikrofonima gotovo 7.000 robotskih usisivača širom sveta, iako je on samo želeo da daljinski upravlja svojim uređajem.
Semi Azdufal, softverski inženjer, slučajno je otkrio kritičnu ranjivost u bezbednosnom sistemu novog robotskog usisivača DJI Romo. Pokušavajući da napravi sopstvenu aplikaciju koja bi mu omogućila upravljanje uređajem pomoću kontrolera za PlayStation 5, Azdufal je koristio Claude AI asistenta za programiranje kako bi analizirao komunikaciju robota sa DJI-jevim serverima u oblaku.
Međutim, umesto pristupa samo svom uređaju, sistem mu je dodelio akreditive koji su mu omogućili uvid u podatke hiljada drugih korisnika. Ovaj propust u pozadinskom sistemu praktično je izložio oko 7.000 robotskih usisivača u 24 zemlje jednom korisniku, koji to čak nije ni želeo.
Azdufal je utvrdio da su mu serveri, umesto provere pojedinačnog bezbednosnog tokena, omogućili pristup kao da je vlasnik čitave flote uređaja. Tako je dobio mogućnost praćenja video-prenosa uživo, pristupa mikrofonima, kao i uvid u tlocrte domova i približne lokacije korisnika putem njihovih IP adresa.
Iako su ovakvi podaci u pogrešnim rukama mogli poslužiti kao sredstvo masovnog nadzora, Azdufal je odlučio da svoja saznanja podeli sa javnošću i samim proizvođačem. Iz kompanije DJI potvrdili su postojanje ranjivosti, navodeći da je problem identifikovan tokom interne revizije krajem januara.
Prema zvaničnom saopštenju, kompanija je brzo reagovala uvođenjem zakrpa tokom februara. Prvo ažuriranje sistema objavljeno je 8. februara, dok je konačna nadogradnja završena 10. februara, čime je, prema tvrdnji kompanije, problem u potpunosti otklonjen. DJI Romo, uređaj koji je doveo do ovog otkrića, robotski je usisivač čija cena iznosi oko 2.000 evra.
Opremljen je brojnim senzorima i kamerama neophodnim za navigaciju i prepoznavanje prostorija. Pošto se deo tih podataka skladišti na udaljenim serverima, ranjivost na tom nivou direktno je ugrozila privatnost u domovima korisnika. Stručnjaci za sajber bezbednost upozoravaju da ovakvi incidenti potvrđuju dugogodišnje sumnje u rizike koje nose pametni kućni uređaji.
Ostavi komentar