DJI Romo: Modder PS5 vezérlővel hajtja a robotvákuumot, hozzáférést nyer 7000 robotkamerához

A DJI Romo a jól ismert dróngyártó legelső robotporszívója. A robot feltűnő, átlátszó kialakításával kitűnik a versenytársak közül, de a kibertámadások elleni védelmet a jelek szerint nem helyezték előtérbe a fejlesztés során. Ahogy a The Verge beszámolója szerint egy vásárló véletlenül mintegy 7000 DJI Romo készüléket hackelt meg világszerte.

Sammy Azdoufal eredetileg csak szórakozásból akarta irányítani robotporszívóját egy PlayStation kontrollerrel. Az egyedi távirányító alkalmazásnak a DJI szerverein keresztül kellett volna vezérelnie a robotot. De ahelyett, hogy csak a saját DJI Romóját irányította volna, a szerver hozzáférést biztosított a fejlesztőnek mind a közel 7000 DJI Romo egységhez, amelyek akkoriban aktívak voltak. Ami még riasztóbb, hogy a fejlesztő nemcsak a robotokat tudta irányítani, hanem hozzáférhetett azok mikrofonjaihoz és hangszóróihoz is, ami gyakorlatilag élő hozzáférést biztosított neki több ezer otthonhoz.

Az IP-címen keresztül minden egyes robot hozzávetőleges helyét meg lehetett határozni, és a robotok még szobatérképeket is tudtak készíteni. A programozó elmondta, hogy nem kellett semmilyen szabályt megszegnie vagy biztonsági korlátozásokat megkerülnie ahhoz, hogy ilyen hozzáférést kapjon. Ehelyett a DJI szerverei egyetlen DJI Romo tokent fogadtak el hitelesítésként, hogy hozzáférjenek az összes DJI Romo egység adataihoz. A DJI február 11-én, szerdán javította ezt a jelentős biztonsági hibát. Mindazonáltal az incidens jól szemlélteti, hogy mennyi személyes adatot gyűjthet egy olyan intelligens otthoni eszköz, mint egy robotporszívó, és hogy milyen súlyos lehet egy ilyen hiba, ha egy támadó kihasználja azt.