Zyskał dostęp do planów mieszkań. Mógł podglądać ludzi

Programista Sammy Azdoufal tworzył własny kontroler dla odkurzacza DJI Romo. Podczas integracji z chmurą firmy trafił na błąd uprawnień. Ten sam token, który uwierzytelniał jego urządzenie, otwierał dostęp do kamer, mikrofonów i map setek innych Romo.

Azdoufal przekazał ustalenia redakcji The Verge, a ta skontaktowała się z DJI. Producent potwierdził problem i zapewnił o naprawie. Luka mogła zamienić roboty w narzędzia podglądu bez wiedzy właścicieli.

"DJI zidentyfikowało podatność w DJI Home pod koniec stycznia i niezwłocznie rozpoczęło działania naprawcze. Pierwsza łatka została wdrożona 8 lutego, a kolejna 10 lutego. Naprawa trafiła do użytkowników automatycznie" - poinformował w swoim artykule magazyn Popular Science.

DJI dodało, że planuje "kolejne wzmocnienia bezpieczeństwa", nie podając szczegółów. Azdoufal zaznaczył, że nie włamywał się do systemów - wykrył błąd podczas pracy nad aplikacją i go nie wykorzystywał.

Romo, jak inne roboty sprzątające, zbiera dane wizyjne i informacje o układzie mieszkania. Część trafia na serwery DJI. Weryfikacja tokenu miała potwierdzać właściciela jednego urządzenia. Błąd sprawiał, że serwer traktował go jak właściciela wielu robotów.

To dawało dostęp do podglądu na żywo, aktywacji mikrofonu, odczytu statusów i tworzenia 2D planów mieszkań. Analiza adresów IP pozwalała szacować przybliżoną lokalizację robotów.

Popular Science przypomina o rosnących obawach wobec urządzeń smart home. Dyskusję wzbudziły m.in. reklama funkcji Ring "search party" oraz sprawa zapisu wideo z Nest Doorbell, odzyskanego przez Google na potrzeby śledztwa.

W USA politycy obu partii od lat ostrzegają przed ryzykiem związanym z częścią chińskich producentów technologii. Choć dowody bywają niejednoznaczne, argument ten wspierał zakazy wybranych produktów.

Robo-odkurzacze i asystenci domowi działają w najbardziej prywatnych przestrzeniach, a ich liczba rośnie. Według Parks Associates w 2020 r. ok. 54 mln gospodarstw w USA miało co najmniej jedno urządzenie smart home.

Producenci pracują też nad humanoidami do domowych prac. Aby działały skutecznie, potrzebują szerszego dostępu do danych o domach, co zwiększa wagę cyberbezpieczeństwa.

DJI Romo zadebiutował w Chinach w ubiegłym roku i trafia na kolejne rynki. Kosztuje ok. 2 tys. dol., ma stację dokującą i liczne czujniki. Pracuje głównie autonomicznie, z opcją sterowania w aplikacji.