Μηχανικός ανακάλυψε κενό ασφαλείας σε ρομποτική σκούπα, δίνοντας πρόσβαση σε χιλιάδες σπίτια

Ένας μηχανικός λογισμικού, προσπαθώντας να ελέγξει τη νέα του ρομποτική σκούπα DJI με χειριστήριο βιντεοπαιχνιδιού, ήρθε αντιμέτωπος με ένα σοκαριστικό κενό ασφαλείας. Το σφάλμα αυτό του έδωσε απρόσμενη πρόσβαση σε χιλιάδες σπίτια σε όλο τον κόσμο, μετατρέποντας ενδεχομένως τις έξυπνες συσκευές σε εργαλεία παρακολούθησης.

Ο Σάμι Αζντουφάλ, όπως αναφέρεται, χρησιμοποιούσε βοηθό τεχνητής νοημοσύνης για να κατανοήσει τον τρόπο επικοινωνίας της συσκευής με τους απομακρυσμένους διακομιστές (cloud servers) της DJI. Στόχος του ήταν να αναπτύξει μια δική του εφαρμογή τηλεχειρισμού. Ωστόσο, κατά τη διάρκεια της έρευνάς του, διαπίστωσε κάτι ανησυχητικό: τα ίδια διαπιστευτήρια (credentials) που χρησιμοποιούσε για να ελέγχει τη δική του συσκευή, του επέτρεπαν ταυτόχρονα πρόσβαση σε ζωντανές ροές κάμερας, ήχο από μικρόφωνα, χάρτες και δεδομένα κατάστασης από περίπου 7.000 άλλες ρομποτικές σκούπες που βρίσκονταν σε 24 διαφορετικές χώρες.

Το σφάλμα στο σύστημα backend της DJI ουσιαστικά εξέθετε έναν μεγάλο αριθμό συνδεδεμένων στο διαδίκτυο ρομπότ, τα οποία, όπως υπογραμμίζεται, θα μπορούσαν εύκολα να μετατραπούν σε ισχυρά εργαλεία παρακολούθησης, χωρίς οι ιδιοκτήτες τους να αντιλαμβάνονται τίποτα.

Παρόλο που βρέθηκε μπροστά σε μια τέτοια ευπάθεια, ο Αζντουφάλ επέλεξε να μην την εκμεταλλευτεί. Αντιθέτως, κοινοποίησε αμέσως τα ευρήματά του στο The Verge, το οποίο με τη σειρά του επικοινώνησε με την DJI για να αναφέρει το σοβαρό πρόβλημα. Η εταιρεία, σε δήλωσή της στο Popular Science, ανέφερε ότι το ζήτημα έχει πλέον «επιλυθεί». Ωστόσο, το περιστατικό επανέφερε στο προσκήνιο τις προειδοποιήσεις ειδικών κυβερνοασφάλειας σχετικά με τις συσκευές έξυπνου σπιτιού και τα συνδεδεμένα ρομπότ, τα οποία αποτελούν ελκυστικούς στόχους για χάκερ.

Καθώς όλο και περισσότερα νοικοκυριά υιοθετούν οικιακά ρομπότ, συμπεριλαμβανομένων ολοένα και πιο διαδραστικών ανθρωποειδών μοντέλων, παρόμοιες ευπάθειες αναμένεται να γίνονται δυσκολότερες στον εντοπισμό. Επιπλέον, τα εργαλεία τεχνητής νοημοσύνης, που διευκολύνουν την ανάπτυξη κώδικα, μπορούν να καταστήσουν ευκολότερη την εκμετάλλευση αδυναμιών από άτομα με περιορισμένη τεχνική γνώση.

Το μοντέλο DJI Romo, που βρέθηκε στο επίκεντρο, είναι μια αυτόνομη ρομποτική σκούπα που κυκλοφόρησε αρχικά στην Κίνα και πλέον επεκτείνεται σε άλλες αγορές. Με κόστος περίπου 2.000 δολάρια, έχει μέγεθος αντίστοιχο ενός μικρού ψυγείου όταν βρίσκεται στη βάση φόρτισης. Η Romo, όπως και οι περισσότερες σύγχρονες ρομποτικές σκούπες, διαθέτει προηγμένους αισθητήρες για πλοήγηση και ανίχνευση εμποδίων, ενώ οι χρήστες μπορούν να τη ρυθμίζουν μέσω εφαρμογής. Λειτουργεί αυτόνομα για καθαρισμό και σφουγγάρισμα, συλλέγοντας διαρκώς οπτικά δεδομένα από τον χώρο κίνησής της, ώστε να «κατανοεί» τις διαφορές μεταξύ χώρων και να προσαρμόζει τη λειτουργία της. Μέρος αυτών των δεδομένων αποθηκεύεται στους διακομιστές της DJI, και όχι αποκλειστικά στη συσκευή. Για τη λειτουργία της εφαρμογής που ανέπτυσσε ο Αζντουφάλ, απαιτούνταν επικοινωνία με τους διακομιστές της DJI και η απόκτηση ενός διακριτικού ασφαλείας (security token) για την πιστοποίηση της ιδιοκτησίας της συσκευής.