Sammy Azdoufal chciał sterować swoim robotem odkurzającym za pomocą kontrolera PS5. Jak każdy dobry konstruktor, pomyślał, że fajnie byłoby ręcznie sterować nowym DJI Romo. W końcu uzyskał dostęp do armii robotów sprzątających, które dały mu wgląd w tysiące domów.
Kierując się wyłącznie chęcią zabawy, Azdoufal użył asystenta kodowania AI Claude Code firmy Anthropic, aby odtworzyć protokoły komunikacyjne swojego robota Romo. Jednak gdy jego domowa aplikacja połączyła się z serwerami DJI, około 7000 robotów odkurzających w 24 krajach zaczęło odpowiadać.
Mógł oglądać transmisje na żywo z kamer, słuchać przez wbudowane mikrofony i generować plany pięter domów, których nigdy nie odwiedził. Dzięki 14-cyfrowemu numerowi seryjnemu zlokalizował robota dziennikarza Verge, potwierdził, że sprzątał salon przy 80% naładowania baterii, i stworzył dokładną mapę domu z innego kraju.
Awaria techniczna była niemal komicznie prosta. Broker wiadomości MQTT firmy DJI nie posiadał kontroli dostępu na poziomie tematów. Po uwierzytelnieniu za pomocą jednego tokenu urządzenia można było zobaczyć ruch z innych urządzeń w postaci zwykłego tekstu.
Nie tylko odkurzacze odpowiedziały na wezwanie. Pojawiły się również przenośne stacje akumulatorowe DJI Power, które działają w oparciu o tę samą infrastrukturę MQTT. Są to domowe generatory rezerwowe o mocy do 22,5 kWh, sprzedawane w celu zapewnienia ciągłości działania domu podczas przerw w dostawie prądu.
To, co odróżnia to odkrycie od konwencjonalnych wykryć zagrożeń bezpieczeństwa, to sposób, w jaki do niego doszło. Azdoufal użył Claude Code do dekompilacji aplikacji mobilnej DJI, zrozumienia jej protokołu, wyodrębnienia własnego tokenu uwierzytelniającego i zbudowania niestandardowego klienta.
Narzędzia do kodowania AI obniżają poprzeczkę dla zaawansowanego bezpieczeństwa ofensywnego. Populacja zdolna do badania protokołów Internetu rzeczy (IoT) właśnie znacznie się powiększyła, co jeszcze bardziej podważa pozostałą wiarę w bezpieczeństwo oparte na niejawności.
Dlaczego wiele odkurzaczy IoT jest kiepskich?
To nie pierwszy przypadek zdalnego przejęcia kontroli nad robotem odkurzającym. W 2024 r. hackers przejęli kontrolę nad odkurzaczami Ecovacs Deebot X2 w miastach w całych Stanach Zjednoczonych, wykrzykując obelgi przez głośniki i goniąc zwierzęta domowe. Ochrona kodem PIN firmy Ecovacs była sprawdzana tylko przez aplikację, nigdy przez serwer ani urządzenie.
We wrześniu ubiegłego roku południowokoreański organ nadzorujący rynek konsumencki przetestował sześć marek. Podczas gdy Samsung i LG wypadły dobrze, w trzech chińskich modelach wykryto poważne wady. Model X50 Ultra firmy Dreame umożliwiał zdalne uruchamianie kamery. Badacz Dennis Giese zgłosił później agencji CISA lukę w zabezpieczeniach TLS w aplikacji Dreame. Firma Dreame nie odpowiedziała na pytania agencji CISA.
Schemat się powtarza: producenci dostarczają odkurzacze z podręcznikowymi błędami bezpieczeństwa, ignorują naukowców, a potem wpadają w panikę, gdy dziennikarze publikują informacje na ten temat.
Pierwsza reakcja DJI tylko pogorszyła sytuację. Rzeczniczka Daisy Kong powiedziała serwisowi The Verge, że błąd został naprawiony w poprzednim tygodniu. Oświadczenie to pojawiło się około trzydzieści minut przed tym, jak Azdoufal pokazał tysiące robotów, w tym egzemplarz testowy należący do samego dziennikarza, nadal działających na żywo. DJI wydało później pełniejsze oświadczenie, w którym potwierdziło problem z weryfikacją uprawnień zaplecza i dwie poprawki, 8 i 10 lutego.
DJI twierdzi, że szyfrowanie TLS było zawsze stosowane, ale Azdoufal twierdzi, że chroni ono połączenie, a nie jego zawartość. Powiedział również serwisowi The Verge, że dodatkowe luki w zabezpieczeniach pozostają niezałatane, w tym możliwość ominięcia kodu PIN w transmisji z kamery.
Organy regulacyjne wywierają presję
Powoli pojawiają się regulacje. Unijna ustawa o cyberodporności będzie wymagała obowiązkowego zabezpieczenia wszystkich produktów sprzedawanych w Unii Europejskiej do grudnia 2027 r., a kary mogą sięgać nawet 15 mln euro. Brytyjska ustawa PSTI, obowiązująca od kwietnia 2024 r., stała się pierwszym na świecie aktem prawnym zakazującym stosowania domyślnych haseł w urządzeniach inteligentnych. Natomiast amerykański znak Cyber Trust Mark ma charakter dobrowolny. Ramy te mają zastosowanie niezależnie od lokalizacji producenta. W praktyce jednak nałożenie grzywny na firmę z Shenzhen, która ignoruje wnioski koordynacyjne CISA, to zupełnie inna sprawa.
Jak zachować bezpieczeństwo
Istnieją praktyczne kroki, które możesz podjąć:
- Przed zakupem urządzeń podłączonych do sieci sprawdź wyniki niezależnych testów bezpieczeństwa.
- Umieść urządzenia IoT w oddzielnej sieci dla gości.
- Aktualizuj oprogramowanie sprzętowe
- Wyłącz funkcje, których nie potrzebujesz
Zastanów się, czy odkurzacz naprawdę potrzebuje kamery. Wiele modeli wyposażonych wyłącznie w technologię LiDAR skutecznie nawiguje bez obrazu wideo. Jeśli Twoje urządzenie ma kamerę lub mikrofon, zastanów się, czy nie przeszkadza Ci to, że jest ono narażone na kontakt z otoczeniem — lub fizycznie zakryj obiektyw, gdy nie jest używany.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
