Programista przypadkowo uzyskał dostęp do transmisji na żywo z kamer, nagrań dźwiękowych z mikrofonu i danych lokalizacyjnych dla prawie 7000 robotów odkurzających DJI w 24 krajach. Incydent uwydatnił krytyczną lukę w zabezpieczeniach urządzeń, co rodzi pytania dotyczące konsekwencji dla prywatności coraz bardziej połączonych technologii inteligentnego domu.
Dostęp losowy, skala globalna
Sammy Azjufal, próbując stworzyć własną aplikację do zdalnego sterowania odkurzaczem robota DJI Roborock, odkrył lukę w zabezpieczeniach, która umożliwiła mu dostęp do zaskakującej liczby innych urządzeń. Korzystając z asystenta AI do inżynierii wstecznej komunikacji robota z serwerami w chmurze DJI, natknął się na problem z danymi uwierzytelniającymi. Zamiast ograniczać się tylko do jego odkurzacza, serwery założyły, że jest właścicielem tysięcy innych. Oznaczało to, że mógł oglądać transmisje wideo na żywo, aktywować mikrofony, tworzyć plany pięter i określać przybliżone lokalizacje na podstawie adresów IP.
Tutaj nie chodzi o hakowanie; chodzi o awarię systemu podczas uwierzytelniania. Luka odsłoniła armię robotów podłączonych do Internetu, które w niepowołanych rękach mogą z łatwością zostać wykorzystane do inwigilacji.
Reakcja DJI i szersze implikacje
DJI twierdzi, że rozwiązało problem za pomocą dwóch aktualizacji wydanych w lutym, twierdząc, że nie jest wymagane żadne działanie ze strony użytkownika. Incydent ten ukazuje jednak rosnącą tendencję: inteligentne urządzenia domowe są atrakcyjnym celem dla atakujących. W miarę jak gospodarstwa domowe wdrażają coraz więcej robotów, w tym zaawansowanych modeli przypominających człowieka, luki w zabezpieczeniach prawdopodobnie staną się trudniejsze do wykrycia.
Robot Romo, którego cena detaliczna wynosi około 2000 dolarów, aby działać autonomicznie, wykorzystuje ciągłe gromadzenie danych – kanały wideo i szczegółowe plany pięter. Dane te są częściowo przechowywane na serwerach DJI, tworząc scentralizowany punkt awarii. Odkrycie inżyniera pokazuje, że systemy te często przedkładają wygodę nad bezpieczeństwo.
Szerszy wzorzec problemów związanych z prywatnością
Luka w zabezpieczeniach DJI nie jest odosobnionym przypadkiem. Niedawne kontrowersje wokół kamer Ring, dzwonków do drzwi Google Nest i ciągłe obawy geopolityczne dotyczące chińskich producentów technologii ilustrują szerszą tendencję do erozji prywatności w przestrzeni inteligentnego domu. Ustawodawcy w USA ostrzegali przed zagrożeniami dla bezpieczeństwa stwarzanymi przez urządzenia wyprodukowane w Chinach, chociaż konkretne dowody pozostają niejasne.
Rzeczywistość jest taka, że wiele urządzeń inteligentnego domu ma historię wątpliwych praktyk w zakresie bezpieczeństwa, mimo że działają w najbardziej osobistych obszarach naszego życia. Badania rynku pokazują, że konsumenci nie tylko adoptują te urządzenia, ale aktywnie szukają więcej. Do 2020 r. ponad 54 miliony amerykańskich gospodarstw domowych miało już zainstalowane co najmniej jedno urządzenie inteligentnego domu.
Przyszłość automatyki domowej
Firmy takie jak Tesla i Figura ścigają się, aby opracować w pełni autonomiczne, przypominające człowieka roboty do użytku domowego. Maszyny te będą wymagały bezprecedensowego dostępu do intymnych szczegółów naszych domów, aby mogły działać skutecznie. Rodzi to niesamowitą perspektywę: dla atakujących potencjał wykorzystania jest ogromny.
Przypadkowe odkrycie Azjufala stanowi wyraźne przypomnienie, że dążenie do technologii inteligentnego domu musi być zrównoważone rygorystycznymi środkami bezpieczeństwa. Choć chciał po prostu sterować swoim robotem za pomocą joysticka, jego doświadczenie ujawniło zasadniczą wadę w architekturze podłączonych urządzeń. Wraz z postępem technologii granica między wygodą a nadzorem będzie się coraz bardziej zacierać, co wymaga większej czujności zarówno ze strony producentów, jak i konsumentów.
