Czy ufasz swojemu robotowi? DJI Romo szpiegował użytkowników

Wyobraź sobie urządzenie za kilka tysięcy złotych, które ma być futurystycznym pomocnikiem, a w rzeczywistości oferuje zabezpieczenia, które są banalnie proste do złamania. Mowa o DJI Romo – inteligentnym robocie, który ze względu na krytyczną lukę w oprogramowaniu stał się narzędziem masowej inwigilacji.

Haker-hobbysta, Sammy Azdoufal, udowodnił, iż znając jedynie 14-cyfrowy numer seryjny urządzenia, można było przejąć nad nim pełną kontrolę. Tym samym zyskał dostęp do kamer i mikrofonów w tysiącach domów na całym świecie.

Zaczęło się od pada do PlayStation

Azdoufal chciał jedynie sterować swoim robotem dzięki kontrolera od konsoli PS5. Do stworzenia fundamentów aplikacji sterującej wykorzystał Claude Code – narzędzie AI, co rzuca nowe światło na współczesne zagrożenia. Okazuje się, iż aby obnażyć błędy producenta klasy premium, nie trzeba już posiadać zaawansowanej wiedzy programistycznej.

Fundamentem problemu był brak szyfrowania w protokole MQTT, którego robot używał do komunikacji z serwerami. W efekcie dane płynęły w formie czystego tekstu, co przy braku odpowiednich zabezpieczeń architektury sprawiło, iż prywatne życie użytkowników stało się dostępne dla wszystkich, kto znał numer seryjny sprzętu.

Skala naruszenia prywatności jest drastyczna. Luka pozwalała nie tylko na podgląd i podsłuch domowników na żywo, ale też na wgląd w mapy mieszkań 2D, które robot generuje podczas pracy. Haker mógł bez trudu określić przybliżoną lokalizację fizyczną urządzenia na podstawie adresu IP, mając przed oczami dokładny rozkład pomieszczeń.

Mapa rozmieszczenia robotów / Źródło: X (@n0tsa)

W sumie problem dotyczył blisko 7000 robotów DJI Romo oraz stacji zasilania DJI Power rozsianych po 24 krajach. Badaczowi udało się przechwycić ponad 100 tysięcy prywatnych wiadomości przesyłanych przez te jednostki. To tylko potwierdza, jak bardzo dziurawy był to system.

DJI reaguje, ale czy odpowiednio?

DJI po otrzymaniu zgłoszenia ogłosiło naprawienie błędu, jednak proces ten budził spore kontrowersje. Początkowo producent twierdził, iż problem został usunięty, podczas gdy serwery wciąż pozostawały otwarte i dostępne dla osób postronnych. Choć ostatecznie wyłączono krytyczne protokoły, eksperci ostrzegają, iż fundamentalne błędy w architekturze mogą przez cały czas stanowić zagrożenie.

To zdarzenie podważa zaufanie do segmentu smart home i pokazuje, iż wysoka cena nie gwarantuje choćby podstawowej ochrony danych. Domowy asystent, zamiast ułatwiać życie, w kilka minut mógł zmienić się w konia trojańskiego parkującego w samym centrum salonu.

Patrząc na to, jak łatwo było zajrzeć do cudzych mieszkań, strach pomyśleć, co jeszcze w naszych domach nadaje do sieci bez żadnego zabezpieczenia.

Źródło: The Verge / Zdj. otwierające: DJI