Chciał się pobawić kontrolerem. Przypadkiem „zhakował” tysiące domów

Niewinna zabawa z kontrolerem DualSense do PS5 przerodziła się w jeden z najpoważniejszych incydentów bezpieczeństwa w świecie smart home ostatnich miesięcy. Użytkownik, który chciał sterować swoim robotem sprzątającym DJI Romo za pomocą pada od PlayStation, przypadkowo uzyskał dostęp do tysięcy urządzeń na całym świecie. Sprawa pokazuje, jak ogromne ryzyko niosą ze sobą luki w zabezpieczeniach inteligentnych urządzeń domowych.

DJI Romo – pierwszy robot sprzątający giganta dronów

DJI kojarzy się przede wszystkim z dronami klasy premium. Model DJI Romo był jednak pierwszą próbą firmy wejścia na rynek robotów sprzątających. Urządzenie wyróżnia się charakterystyczną, półprzezroczystą konstrukcją i nowoczesnym designem, który odróżnia je od konkurencji.

Jak się jednak okazuje, w trakcie projektowania większy nacisk położono na wygląd i funkcjonalność niż na cyberbezpieczeństwo. A to w przypadku sprzętu, który posiada mikrofony, głośniki, dostęp do Wi-Fi i funkcję mapowania pomieszczeń, może mieć bardzo poważne konsekwencje.

Jak doszło do „przypadkowego hacku” 7 000 robotów?

Historia zaczęła się od prostego pomysłu. Pewien programista chciał dla zabawy sterować swoim robotem sprzątającym za pomocą kontrolera DualSense z konsoli PlayStation 5. W tym celu stworzył własną aplikację, która miała komunikować się z serwerami DJI i kontrolować wyłącznie jego urządzenie.

Problem polegał na tym, że serwer nie ograniczył dostępu do jednego egzemplarza. Zamiast tego zaakceptował token uwierzytelniający z pojedynczego DJI Romo jako przepustkę do wszystkich aktywnych urządzeń. W efekcie programista uzyskał dostęp do niemal 7 000 robotów działających w tym samym czasie na całym świecie.

Co istotne, nie musiał łamać zabezpieczeń ani obchodzić mechanizmów ochronnych. System sam przyznał mu nieuprawnione uprawnienia.

Dostęp do kamer, mikrofonów i map mieszkań

Skala problemu wykraczała daleko poza samo sterowanie robotami. Uzyskany dostęp obejmował:

• Możliwość zdalnego kontrolowania urządzeń, wgląd w ich lokalizację na podstawie adresu IP, a także dostęp do mikrofonów i głośników. Oznaczało to potencjalny, niemal „na żywo” wgląd w tysiące domów.
• Dodatkowo roboty mogły generować szczegółowe mapy pomieszczeń. Takie dane – w niepowołanych rękach – mogłyby posłużyć do analizy układu mieszkań, planowania włamań czy profilowania użytkowników.
• To pokazuje, jak ogromną ilość wrażliwych informacji zbierają dziś urządzenia smart home, nawet te, które z pozoru służą wyłącznie do sprzątania.

Reakcja DJI i szybka poprawka bezpieczeństwa

Po ujawnieniu problemu DJI zareagowało stosunkowo szybko. Krytyczna luka została już załatana. Firma nie poinformowała o przypadkach realnego wykorzystania podatności przez osoby trzecie, jednak sam fakt jej istnienia budzi poważne obawy.

Incydent z DJI Romo to kolejny sygnał ostrzegawczy dla całej branży IoT. W erze inteligentnych domów bezpieczeństwo nie może być dodatkiem – musi być fundamentem projektowania produktu.