Roboty domowe

Wielka luka w zabezpieczeniach. Ten robot łatwo oddaje dane

przeczytasz w 2 min.
Michał Mielnik | Redaktor serwisu benchmark.pl
Dyskutuj z nami

DJI Romo to robot, który zaskoczył wszystkich swoim wyglądem. Kilka miesięcy po globalnej premierze okazalo się, że choć robot prezentuje się futurystycznie, tak jego zabezpieczenia są przedpotopowe.

Historia zaczyna się dość niewinnie, bo od Sammy’ego Azdoufala, który chciał kontrolować swojego robota DJI Romo z użyciem kontrolera do PlayStation 5. Do tego celu stworzył aplikację, która miała porozumieć się z serwerami DJI, by przejąć zdalną kontrolę nad swoim robotem. Wkrótce potem okazało się, że w ten sposób kontakt można nawiązać połączenie także i z innymi robotami. 

Prawie 7000 urządzeń DJI Romo zaczęło traktować Azdoufala jak administratora generowanych przez nich fanych. Dzięki temu mógł on oglądać, jak mapują każdy pokój i tworzą plan przestrzeni w 2D. Dzięki adresom IP robotów mógł też w przybliżonym stopniu określić ich lokalizację, a do tego poprzez funkcję kontroli na żywo korzystać z podglądu z kamery.

Roboty DJI z krytyczną luką bezpieczeństwa 

Azdoufal stworzył mapę świata, na której znalazło się ponad 6700 robotów DJI z 24 krajów. Z pomocą wejścia w systemy DJI zebrał on 10 000 urządzeń, a wśród nich także i stacje DJI Power. Łącznie w ten sposób zgromadzono ponad 100 tysięcy wiadomości. Co gorsze, autor aplikacji nie potrzebował do tego zaawansowanej wiedzy, a podstawy aplikacji stworzył z użyciem Claude Code. 

Mapa robotów DJI Romo stworzona w Claude CodeWszystkie roboty DJI Romo złożyły się na mapę świata

The Verge zweryfikowało, czy aplikacja faktycznie korzysta z faktycznych danych o robotach, czy jedynie halucynuje. Wystarczyło podać 14-cyfrowy numer seryjny robota, a po chwili Azdoufal mógł przyglądać się mapowaniu pomieszczenia i uzyskał plan mieszkania. Poza tym w ten sposób udało się połączyć z kamerą robota oraz mikrofonem, a to wszystko z pominięciem kodu PIN, który miał być zabezpieczeniem.

Zdaniem Azdoufala nie musiał on dokonywać włamania na serwery DJI. Wykorzystał jedynie prywatny token urządzenia, które kupił. Tylko za pośrednictwem tokenu dostał się on na serwery przedprodukcyjne producenta, jak i serwery na Stany Zjednoczone, Chiny i Unię Europejską.

Przejęcie kontroli nad kamerą robota DJI ROMOPrzejęcie kontroli nad kamerą robota DJI ROMO

DJI naprawiło ten błąd kilka dni po jego wykryciu, choć początkowo przyznało, że ten błąd jest już całkowicie naprawiony, gdy nadal można było uzyskać dostęp do serwerów. Nie da się już skorzystać z serwerów MQTT, ale gdy było to możliwe, wszystkie dane były widoczne w formie tekstu, bez zaszyfrowania. To budzi obawy, że zagrożenie bezpieczeństwa nadal jest obecne, a jedynie nie będzie tak łatwo uzyskać dostęp do urządzeń producenta.

Źródło: The Verge

Cyfrowi Bezpiczni Misja AI

Przeczytaj także:

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!

Witaj!

Niedługo wyłaczymy stare logowanie.
Logowanie będzie możliwe tylko przez 1Login.

Połącz konto już teraz.

Zaloguj przez 1Login