Egy különös technológiai kísérlet váratlan felfedezéshez vezetett: egy fejlesztő véletlenül több ezer robotporszívó felett szerzett hozzáférést világszerte. A probléma akkor derült ki, amikor egy mesterséges intelligenciával foglalkozó szakember saját készülékét próbálta PlayStation-kontrollerrel irányítani, és közben egy súlyos biztonsági hibát talált. A hiba lehetővé tette a lakások alaprajzainak megtekintését, valamint a robotporszívók kamerájának és mikrofonjának élő elérését is, írja a tom’s HARDWARE.
Egy kísérletből globális hozzáférés lett
A történet a DJI Romo robotporszívókhoz kapcsolódik. A The Verge beszámolója szerint egy biztonsági rés miatt több ezer ilyen eszköz vált jogosulatlanul elérhetővé. A probléma akkor vált nyilvánvalóvá, amikor az AI-stratégaként dolgozó Sammy Adoufal a Claude Code segítségével visszafejtette azt a kommunikációs protokollt, amelyet a robotporszívók használnak a szerverekkel való kapcsolattartásra.
Adoufal eredetileg csak azt szerette volna elérni, hogy saját robotporszívóját PlayStation-kontrollerrel irányíthassa. A kísérlet azonban váratlan eredményt hozott. A rendszer nem csupán az ő eszközéhez adott hozzáférést, hanem mintegy 6700 robotporszívó irányítási lehetőségét nyitotta meg világszerte.
A szakember hangsúlyozta, hogy nem tört fel semmilyen rendszert. Mindössze saját Romo robotporszívójának privát tokenjéhez jutott hozzá. Mint a The Verge-nek elmondta, nem került sor szabályok megsértésére vagy feltörési módszerek alkalmazására. Ennek ellenére képes volt hozzáférni több globális szerverhez is, köztük az Egyesült Államokban, Európában és Kínában működő rendszerekhez.
Lakások alaprajza és élő videó is elérhető volt
A biztonsági rés komoly adatvédelmi kockázatot jelentett. Az alkalmazás képes volt pontos lakásalaprajzok lekérésére, hozzáférést biztosított a robotporszívók kamerájához és mikrofonjához, valamint lehetővé tette az érintett eszközök távoli irányítását is.
Adoufal szerencsére nem élt vissza a lehetőséggel. A felfedezés után értesítette a DJI-t, amely később több frissítéssel javította a hibát. Ezek a frissítések automatikusan települtek, így a felhasználóknak nem kellett külön lépéseket tenniük.
A szakember ugyanakkor arra figyelmeztetett, hogy még mindig maradt néhány biztonsági probléma. Például egyes esetekben a DJI Romo robotporszívók videóképe biztonsági PIN-kód nélkül is streamelhető. Emellett egy másik, súlyos hibáról is beszélt, amelynek részleteit a kockázatok miatt nem hozta nyilvánosságra.
A probléma gyökere szerinte nem a titkosítás hiánya, hanem az, hogy az adatok jelentős része egyszerű, olvasható formában van tárolva a szervereken. Ez azt jelenti, hogy aki hozzáférést szerez a rendszerhez, könnyen elolvashatja az információkat.
Nem ez az első eset, amikor robotporszívók adatkezelése miatt merül fel biztonsági aggály. Tavaly egy mérnök fedezte fel, hogy az iLife A11 okos porszívó folyamatosan naplófájlokat és telemetriai adatokat küld vissza a gyártónak. Amikor a felhasználó hálózati szinten blokkolta ezt a kommunikációt, a gyártó egy úgynevezett kill kódot küldött, amely távolról letiltotta az eszközt.
A mérnök végül saját módosításokkal újra működésre bírta a készüléket, és bebizonyította, hogy egy robotporszívónak nincs feltétlenül szüksége folyamatos felhőkapcsolatra ahhoz, hogy megfelelően működjön.
Az okosotthon-eszközök, vagyis az IoT technológiák egyre népszerűbbek, mert kényelmet és automatizálást kínálnak a felhasználóknak. Az ilyen esetek azonban rámutatnak arra is, milyen kockázatokkal járhat a hálózatba kapcsolt eszközök használata.
Biztonsági szakértők szerint különösen aggasztó, hogy egy egyszerű kísérletező is véletlenül hozzáférhet több ezer ember privát adataihoz. Ha egy ilyen hiba rosszindulatú támadók kezébe kerülne, annak következményei jóval súlyosabbak lehetnek, mint amit most láttunk.
Ez is érdekelheti:
Csőd és felvásárlás az iRobotnál – mi lesz most a Roomba robotporszívókkal?
A nyitókép csak illusztráció, forrás: ChatGPT
