Un incident aparent trivial dezvăluie o vulnerabilitate dramatică în securitatea celor mai noi aspiratoare robotice DJI, punând în pericol intimitatea a mii de utilizatori din întreaga lume. Un proprietar a reușit, din întâmplare, să preia controlul asupra aproape 7.000 de dispozitive din întreaga lume, în urma unor lacune majore în sistemele de securitate ale companiei, iar problemele nu par încă rezolvate complet.
Controlul neintenționat al unui „robot aspirator” scoate la iveală deficiențele de securitate ale DJI
Proprietarul unui DJI Romo, un aspirator robot lansat recent pe piață, a descoperit o vulnerabilitate majoră în sistemul de securitate al dispozitivului. În timpul unei simple încercări de conectare a controlerului PS5 pentru operarea robotului, el a reușit accidental să preia controlul asupra a mii de dispozitive de pe glob. Conform propriilor declarații, totul s-a întâmplat din cauza unui token privat obținut accidental, fără a avea vreun scop rău intenționat.
Azdoufal, celebritate pentru această descoperire, a subliniat că nu a piratat în sensul clasic, ci doar a accesat propriul robot, dar sistemele DJI nu au putut distinge între acest tip de acces și unul malicious. În consecință, el a avut libertatea de a controla aspiratoarele, de a vizualiza imagini video și audio și de a accesa planurile locuințelor în care erau instalate, toate prin simpla accesare a datelor în clar, din lipsă de criptare și parametrizare corespunzătoare.
Un sistem de securitate slab conceput și riscurile extinse
Această dezvăluire șochează mai ales prin amploarea compromiterii datelor: nu era vorba doar de un robot izolat, ci de o întreagă flotă de dispozitive, inclusiv stații de alimentare și alte componente ale ecosistemului DJI Romo. Surprinzător, în ciuda gravității, compania a intervenit în mod prompt, lansând câteva actualizări de firmware care au remediat parte din vulnerabilitate fără ca utilizatorii să fie nevoiți să ia măsuri speciale.
Însă, problemele persistă. Azdoufal a atras atenția asupra faptului că unele vulnerabilități, precum transmiterea fluxului video fără parolă sau stocarea datelor în formă necriptată, încă nu au fost complet rezolvate. „Este grav că toate aceste informații sunt stocate în text simplu, expunând utilizatorii la riscuri de interceptare sau hacking”, a spus el. În plus, o a doua problemă, despre care DJI nu a făcut încă publice detalii, riscă să devină o altă țintă pentru atacatori, dacă nu va fi remediată rapid.
Contextul global și implicațiile în securitatea IoT
Acest eveniment amplifică temerile deja existente în privința securității dispozitivelor inteligente pentru casă. Pornește de la exemple din trecut, precum un robot aspirator care transmitea date** către producător, sau scenarii mai grave, ca hackerii care au preluat controlul asupra unor dispozitive din domeniul securității. În toată această rută de vulnerabilități, DJI devine un exemplu elocvent al riscurilor nesfârșite din ecosistemul IoT – internetul obiectelor, un domeniu cu o expunere imensă, dar încă insuficient reglementat și securizat.
Încă de anul trecut, situația s-a complicat pentru DJI, deoarece autoritățile din SUA au interzis comercializarea noilor produse, din cauza suspiciunilor legate de legăturile companiei cu guvernul chinez și de potențialele activități de spionaj. În acest context, descoperirile recente adaugă un strat suplimentar de îngrijorare privind practicile de securitate ale producătorului.
Pe măsură ce tehnologia se avântă în ceasul automatizării caselor, lipsa măsurilor solide de securitate devine un pariu riscant pentru consumatori. Problemele descoperite la DJI Romo ar trebui să tragă semnale de alarmă pentru toți utilizatorii și pentru autoritățile de reglementare, întrucât fiecare vulnerabilitate exploatată sau lăsată necorectată poate deveni o poartă de intrare pentru atacatori, cu consecințe potențial dezastruoase.
