Htio voziti usisivač kao u igrici, a dobio pristup kamerama i mikrofonima hiljada ljudi širom svijeta

Njegovo otkriće razotkrilo je masovnu sigurnosnu rupu koja bi, u pogrešnim rukama, ove pametne uređaje pretvorila u savršene alate za špijuniranje bez znanja vlasnika.

Dok je razvijao vlastitu aplikaciju za daljinsko upravljanje, inženjer Sammy Azdoufal je koristio AI asistenta za kodiranje kako bi obrnutim inženjeringom otkrio na koji način njegov robot komunicira s DJI-jevim serverima. Međutim, ubrzo je došao do šokantnog saznanja: isti pristupni podaci koji su mu omogućili kontrolu nad njegovim uređajem, dali su mu pristup i hiljadama drugih uređaja.

Softverska greška na serveru mu je omogućila pristup za gotovo 7.000 drugih usisivača u 24 različite države, izlažući sljedeće podatke: Prijenos slike s kamera uživo, zvuk s ugrađenih mikrofona, 2D tlocrte domova i mapa kretanja te statusne podatke i IP adrese s približnim lokacijama

Slučajno otkriće masovne sigurnosne rupe

Uređaj u centru pažnje je DJI Romo, autonomni kućni usisivač koji je prošle godine lansiran u Kini, a sada se širi i na druga tržišta. S cijenom od oko 2.000 dolara i dimenzijama manjeg frižidera, ovaj robot koristi niz sofisticiranih senzora kako bi razlikovao prostorije, na primjer kuhinju od spavaće sobe.

Da bi Azdoufalova ideja o kontroleru uspjela, njegova aplikacija je trebala komunicirati s DJI serverima kako bi izvukla sigurnosni token koji dokazuje da je on vlasnik robota. Umjesto da verificiraju samo jedan token, serveri su mu greškom dodijelili vlasništvo nad pravom "malom vojskom" robota. Azdoufal ističe da on nije ništa "hakovao", već je jednostavno naišao na ogroman propust.

Srećom, odlučio je da ne zloupotrijebi ovu ranjivost. Svoje otkriće je podijelio s portalom The Verge, koji je odmah alarmirao kompaniju DJI.

Brza reakcija i širi problem privatnosti

Iz kompanije DJI su potvrdili da su grešku otkrili krajem januara te da je problem u potpunosti riješen kroz dva automatska ažuriranja softvera početkom februara, bez potrebe za reakcijom samih korisnika.

Ipak, ovaj dramatični incident potvrđuje dugogodišnja upozorenja stručnjaka za kibernetičku sigurnost: roboti povezani s internetom i drugi pametni uređaji predstavljaju izuzetno atraktivne mete za hakere.

Kako sve više domaćinstava usvaja pametnu tehnologiju, problemi s privatnošću postaju sve izraženiji. Nedavni kontroverzni slučajevi s Ring kamerama i Googleovim Nest uređajima već su podigli prašinu oko toga koliko kontrole korisnici zapravo imaju nad svojim podacima. U budućnosti, kada na tržište masovno stignu napredniji humanoidni roboti (poput onih koje razvijaju Tesla ili Figure), njima će biti potreban još intimniji pristup detaljima iz domova vlasnika. Za hakere ili stalkere, to predstavlja potencijalni rudnik zlata.

Što se tiče Azdoufala, on se našao usred globalnog sigurnosnog skandala iako je samo želio vozati svoj usisivač pomoću joysticka. Na tom polju, barem za njega, misija je uspješno obavljena.