Niepozorna próba podłączenia pada od PlayStation do robota sprzątającego zakończyła się odkryciem poważnej luki bezpieczeństwa. Jeden z użytkowników przypadkowo uzyskał dostęp do około 6700 robotów sprzątających na całym świecie — wraz z planami mieszkań, transmisją z kamer i możliwością zdalnego sterowania urządzeniami.
Sprawa dotyczy modelu DJI Romo produkowanego przez firmę DJI, znaną głównie z dronów.
Jak doszło do odkrycia luki?
O całej sprawie jako pierwszy poinformował serwis The Verge. Lukę odkrył stratega AI Sammy Adoufal, który postanowił stworzyć aplikację pozwalającą sterować własnym robotem za pomocą kontrolera PlayStation.
W tym celu wykorzystał narzędzie Claude Code do przeanalizowania protokołu komunikacyjnego robota z serwerami producenta. Jak twierdzi, nie próbował włamywać się do systemów firmy — uzyskał jedynie prywatny token swojego własnego urządzenia.
Problem w tym, że system nie ograniczył dostępu wyłącznie do jego sprzętu.
Zamiast tego aplikacja otworzyła dostęp do około 6700 robotów działających na całym świecie — w USA, Europie, a nawet w Chinach.
Co było widoczne?
Luka umożliwiała:
- pobieranie dokładnych planów mieszkań tworzonych przez roboty,
- podgląd na żywo z kamer urządzeń,
- dostęp do mikrofonów,
- zdalne sterowanie robotami.
Co istotne, dostęp do transmisji wideo w niektórych przypadkach był możliwy bez konieczności podania PIN-u bezpieczeństwa.
Według Adoufala problem nie wynikał z samego szyfrowania transmisji, lecz z faktu, że dane były przechowywane na serwerach w formie czystego tekstu (plain text). Oznacza to, że każdy, kto uzyskałby dostęp do infrastruktury serwerowej, mógłby je łatwo odczytać.
DJI zareagowało, ale nie wszystko zostało naprawione
Na szczęście odkrywca luki nie wykorzystał jej w złej wierze. Skontaktował się z producentem, a firma wprowadziła poprawki poprzez aktualizacje, które nie wymagały działania ze strony użytkowników.
Według niego nadal istnieją jednak nierozwiązane kwestie bezpieczeństwa, w tym jeden poważny problem, którego szczegółów nie ujawniono ze względu na jego wagę.
To nie pierwszy przypadek
To nie pierwsza sytuacja, w której robot sprzątający okazał się zbyt „gadulskim” urządzeniem IoT. W ubiegłym roku inżynier odkrył, że jego iLife A11 regularnie wysyłał logi i dane telemetryczne do producenta. Po zablokowaniu komunikacji urządzenie zostało zdalnie dezaktywowane przez producenta, co w praktyce oznaczało jego całkowite wyłączenie.
Po odpowiednich modyfikacjach sprzęt udało się przywrócić do działania w trybie całkowicie lokalnym — bez konieczności stałego połączenia z chmurą.
IoT w domu – wygoda czy ryzyko?
Inteligentne urządzenia IoT coraz częściej trafiają do naszych domów. Roboty sprzątające tworzą dokładne mapy mieszkań, mają kamery, mikrofony i stałe połączenie z internetem. W zamian oferują wygodę i automatyzację.
Problem w tym, że jeśli zwykły użytkownik — bez łamania zabezpieczeń — może przypadkowo uzyskać dostęp do tysięcy urządzeń, to skoordynowany atak cyberprzestępców mógłby mieć znacznie poważniejsze konsekwencje.
To kolejny sygnał ostrzegawczy dla branży IoT: bezpieczeństwo nie może być dodatkiem do funkcjonalności. W erze podłączonych do sieci domów każda luka to potencjalne naruszenie prywatności tysięcy osób.
Foto: DJI.