Hacker απέκτησε κατά λάθος τον έλεγχο για 7.000 σκούπες-ρομπότ, ενώ έκανε πειράματα στην δική του με ένα PS5 controller

Ειδοποίησε την εταιρεία για κενά ασφαλείας.

Ένας software engineer ανακάλυψε κατά λάθος ένα σοβαρό κενό ασφαλείας σε ρομποτικές σκούπες, το οποίο του επέτρεπε να έχει πρόσβαση σε δεδομένα από χιλιάδες σπίτια σε όλο τον κόσμο. Ο Sammy Azdoufal είχε αρχικά έναν αρκετά απλό στόχο: να μπορέσει να ελέγχει τη ρομποτική του σκούπα με χειριστήριο για PS5. Στην προσπάθειά του αυτή όμως κατέληξε να αποκτήσει πρόσβαση σε πάνω από 7.000 ρομπότ καθαρισμού σε πολλές χώρες.

Ο Azdoufal προσπάθησε να αναλύσει την επικοινωνία ανάμεσα στη σκούπα του, ένα DJI Romo robot vacuum, και τους servers της κατασκευάστριας εταιρείας DJI. Για να το κάνει αυτό χρησιμοποίησε το εργαλείο ανάπτυξης Claude Code της Anthropic, το οποίο ανέλυσε την κίνηση δεδομένων της συσκευής. Όταν το σύστημα του παρείχε ένα security token, ο Azdoufal περίμενε ότι θα είχε πρόσβαση μόνο στη δική του συσκευή. Αντί για αυτό, διαπίστωσε ότι το ίδιο token έδινε πρόσβαση σε όλες τις συσκευές του ίδιου τύπου παγκοσμίως.

Μέσω μιας εφαρμογής που δημιούργησε, ο Azdoufal μπορούσε να συλλέγει πληροφορίες από τις συσκευές κάθε τρία δευτερόλεπτα. Μεταξύ άλλων, είχε δυνατότητα να βλέπει σειριακούς αριθμούς συσκευών, την κατάσταση φόρτισης των ρομπότ, τις διαδρομές καθαρισμού, εμπόδια που εντόπιζαν μέσα στο σπίτι. Σε ορισμένες περιπτώσεις μπορούσε επίσης να ενεργοποιήσει κάμερες και μικρόφωνα, να ανακατασκευάσει 2D χάρτες των σπιτιών από τα δεδομένα πλοήγησης, να εκτιμήσει περίπου την τοποθεσία του κάθε σπιτιού μέσω της IP διεύθυνσης. Με άλλα λόγια, ένα απλό project για τον έλεγχο μιας συσκευής με χειριστήριο κατέληξε να αποκαλύψει ένα εκτεταμένο πρόβλημα ασφάλειας.

Μετά την ενημέρωση της εταιρείας κυκλοφόρησε επίσημο security update μέσα σε λίγες ημέρες. Εκπρόσωπος της εταιρείας παραδέχθηκε ότι υπήρχε πρόβλημα: ένα ζήτημα επικύρωσης δικαιωμάτων στο backend που επηρέαζε την επικοινωνία MQTT μεταξύ συσκευών και server, το οποίο θεωρητικά θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση σε live video από τις συσκευές. Ο Azdoufal ανέφερε ωστόσο ότι ορισμένα ακόμη κενά ασφαλείας που εντόπισε παραμένουν ανοιχτά, με την εταιρεία να δηλώνει ότι θα διορθωθούν μέσα στις επόμενες εβδομάδες.

Το περιστατικό δεν είναι μοναδικό. Το 2024 είχαν αναφερθεί παρόμοια προβλήματα ασφαλείας σε ρομποτικές σκούπες της Ecovacs, όπου hackers εκμεταλλεύτηκαν αδυναμίες για να παρακολουθούν χρήστες μέσω των συσκευών τους. Το περιστατικό αναδεικνύει ξανά τους κινδύνους που μπορεί να δημιουργούν οι συνδεδεμένες στο διαδίκτυο οικιακές συσκευές, ιδιαίτερα όταν η ασφάλεια δεν αποτελεί προτεραιότητα στον σχεδιασμό τους.

Διαβάστε για το ρομπότ T800 της EngineAI που κλώτσησε τον CEO της και συζητήστε για την επιστήμη και την τεχνολογία στο σχετικό forum topic.