SG.hu·
Harmincezer dollárt fizet a DJI a robotporszívó hálózata feltörőjének
Egy férfi véletlenül hozzáférést szerzett több ezer internetre kapcsolt robotporszívó kamerájához. Sammy Azdoufal eredetileg csupán azt próbálta megoldani, hogy egy PlayStation játékvezérlővel irányíthassa DJI gyártmányú robotporszívóját. A kísérlet azonban váratlan felfedezéshez vezetett: Azdoufal rájött, hogy nemcsak a saját eszközét tudja vezérelni, hanem egy hatalmas hálózatot is elér, amelyben több ezer robotporszívó működik.
Azdoufal a hibák feltárásához a Claude Code nevű programozási segédeszközt használta, amely mesterséges intelligenciát alkalmaz. A férfi összesen mintegy 7000, távolról vezérelhető DJI robotot tudott elérni. Ezek az eszközök a DJI Romo nevű robotporszívóhoz tartozó rendszerhez kapcsolódnak, amely nemcsak takarításra képes, hanem kamerával és távoli vezérléssel is rendelkezik. Ez azt jelenti, hogy elméletben akár betekintést is lehet nyerni a felhasználók otthonába, ha valaki hozzáfér a rendszerhez. A férfi bemutatta, hogy a rendszer sebezhetőségei lehetővé teszik a robotok vezérlését, illetve bizonyos esetekben a kameraképek elérését is.
A DJI most 30 ezer dolláros jutalmat fizet Azdoufalnak a felfedezéséért, de a hibát pontosan nem nevezték meg. Ugyanakkor megerősítették, hogy már kijavították azt a biztonsági rést, amely lehetővé tette, hogy valaki biztonsági PIN kód nélkül is hozzáférjen a DJI Romo videófolyamához. A vállalat szóvivője, Daisy Kong közleményében így fogalmazott: "Megerősíthetjük, hogy a PIN kód biztonságával kapcsolatos észrevételt február végére megoldottuk. Megkezdtük a teljes rendszer korszerűsítését is. Ez egy sor frissítést foglal magában, amelyek várhatóan egy hónapon belül teljes mértékben megvalósulnak."
A cég egy blogbejegyzést is közzétett, amelyben a DJI Romo biztonságának megerősítéséről számolt be. Ebben a vállalat azt állítja, hogy az eredeti problémát saját maga fedezte fel, ugyanakkor elismeri, hogy két független biztonsági kutató is azonosította ugyanazt a hibát. A blogbejegyzésben a cég azt sugallja, hogy a probléma már teljesen megoldódott. A szövegben ez áll: "A frissítéseket telepítettük, hogy teljes mértékben megoldjuk a problémát." Ugyanakkor a valóságban több különálló sebezhetőség is létezett, és a DJI elismerte, hogy az összes javítás akár még egy hónapig is eltarthat.
A DJI azt is hangsúlyozta, hogy a Romo robotporszívó több fontos biztonsági tanúsítvánnyal rendelkezik. A vállalat szerint az eszköz megszerezte az ETSI, az Európai Unió és az UL szervezetek biztonsági tanúsításait. Az eset azonban sok szakértőben kérdéseket vet fel ezeknek a tanúsítványoknak a valódi értékével kapcsolatban, hiszen egyetlen ember is képes volt hozzáférni egy több ezer eszközből álló hálózathoz. "Elkötelezettek vagyunk a biztonsági kutatóközösséggel való együttműködés elmélyítése mellett, és hamarosan új lehetőségeket vezetünk be arra, hogy a kutatók együttműködhessenek velünk." - írja a cég.
Azdoufal a hibák feltárásához a Claude Code nevű programozási segédeszközt használta, amely mesterséges intelligenciát alkalmaz. A férfi összesen mintegy 7000, távolról vezérelhető DJI robotot tudott elérni. Ezek az eszközök a DJI Romo nevű robotporszívóhoz tartozó rendszerhez kapcsolódnak, amely nemcsak takarításra képes, hanem kamerával és távoli vezérléssel is rendelkezik. Ez azt jelenti, hogy elméletben akár betekintést is lehet nyerni a felhasználók otthonába, ha valaki hozzáfér a rendszerhez. A férfi bemutatta, hogy a rendszer sebezhetőségei lehetővé teszik a robotok vezérlését, illetve bizonyos esetekben a kameraképek elérését is.
A DJI most 30 ezer dolláros jutalmat fizet Azdoufalnak a felfedezéséért, de a hibát pontosan nem nevezték meg. Ugyanakkor megerősítették, hogy már kijavították azt a biztonsági rést, amely lehetővé tette, hogy valaki biztonsági PIN kód nélkül is hozzáférjen a DJI Romo videófolyamához. A vállalat szóvivője, Daisy Kong közleményében így fogalmazott: "Megerősíthetjük, hogy a PIN kód biztonságával kapcsolatos észrevételt február végére megoldottuk. Megkezdtük a teljes rendszer korszerűsítését is. Ez egy sor frissítést foglal magában, amelyek várhatóan egy hónapon belül teljes mértékben megvalósulnak."
A cég egy blogbejegyzést is közzétett, amelyben a DJI Romo biztonságának megerősítéséről számolt be. Ebben a vállalat azt állítja, hogy az eredeti problémát saját maga fedezte fel, ugyanakkor elismeri, hogy két független biztonsági kutató is azonosította ugyanazt a hibát. A blogbejegyzésben a cég azt sugallja, hogy a probléma már teljesen megoldódott. A szövegben ez áll: "A frissítéseket telepítettük, hogy teljes mértékben megoldjuk a problémát." Ugyanakkor a valóságban több különálló sebezhetőség is létezett, és a DJI elismerte, hogy az összes javítás akár még egy hónapig is eltarthat.
A DJI azt is hangsúlyozta, hogy a Romo robotporszívó több fontos biztonsági tanúsítvánnyal rendelkezik. A vállalat szerint az eszköz megszerezte az ETSI, az Európai Unió és az UL szervezetek biztonsági tanúsításait. Az eset azonban sok szakértőben kérdéseket vet fel ezeknek a tanúsítványoknak a valódi értékével kapcsolatban, hiszen egyetlen ember is képes volt hozzáférni egy több ezer eszközből álló hálózathoz. "Elkötelezettek vagyunk a biztonsági kutatóközösséggel való együttműködés elmélyítése mellett, és hamarosan új lehetőségeket vezetünk be arra, hogy a kutatók együttműködhessenek velünk." - írja a cég.