Med eksperimentom po naključju postal lastnik "cele vojske robotskih sesalcev"

Španski inženir programske opreme Sammy Azdoufal se je lotil razvoja projekta, da bi svoj novi robotski sesalnik znamke DJI lahko upravljal s krmilnikom igralne konzole. Azdoufal se je lotil razvoja lastne aplikacije s pomočjo asistenta za programiranje na osnovi umetne inteligence. S t. i. obratnim inženiringom je skušal ugotoviti, kako robot komunicira z oddaljenimi oblačnimi strežniki podjetja DJI.

Kmalu pa je odkril, da so mu isti podatki za dostop, ki so mu omogočili vpogled in nadzor nad lastno napravo, omogoča tudi dostop do kamer, mikrofonov, zemljevidov in statusnih podatkov skoraj 7.000 drugih sesalnikov te znamke v kar 24 državah.

Varnostna napaka v ozadju sistema kitajskega podjetja DJI je tako dejansko razkrila "pravo vojsko z internetom povezanih robotov", ki bi se lahko v napačnih rokah spremenila v orodje za nadzor, ali pa še kaj hujšega, poroča portal Popular Sicience.

Azdoufal pa svojega odkritja ni izkoristil, temveč je o tem obvestil portal The Verge, ki je zatem stopil v kontakt s podjetjem DJI in jih opozoril na ranljivost njihovega sistema. DJI je za Poupular Science že zatrdil, da je bila pomanjkljivost že odpravljena.

"DJI je ranljivost, ki je vplivala na aplikacijo DJI Home, odkril pri internem pregledu konec januarja in takoj začel odpravljati težave. Odpravljena je bila z dvema posodobitvama, ki sta bili naloženi samodejno, in od uporabnikov nista zahtevala nobenega ukrepanja," so za omenjeni portal zapisali v podjetju DJI.

Je pa omenjeni primer sprožil burno razpravo na družbenih omrežjih o varnostnih pomanjkljivostih pametnih naprav. Varnostni strokovnjaki sicer že dlje časa svarijo, da so z internetom povezane gospodinjske naprave in druge pametne naprave za dom že dlje časa zelo privlačna tarča hekerjev.

Ob vse večji dostopnosti takšnih naprav na trgu bi lahko te zaradi podobnih ranljivosti v varnostnih sistemih lahko postale še težje zaznane.

Po navedbah tujih medijev je Sammy Azdoufal predelal avtonomni robotski sesalec DJI Romo, ki stane okoli 2.000 ameriških dolarjev oziroma okoli 1.700 evrov. Tako kot večina drugih robotskih sesalcev je opremljen z vrsto senzorjev za navigacijo po prostoru in zaznavanje ovir, med drugim ima tudi kamero. Uporabniki ga lahko upravljajo prek aplikacije na pametnih telefonih, kjer nastavljajo območja sesanja, čas sesanja in druge funkcije.

Da lahko takšen sesalec sploh deluje, mora neprestano zbirati vizualne podatke iz prostora, v katerem sesa. Tako mora razumeti tudi specifične značilnosti, ki na primer razlikujejo kuhinjo od spalnice. Del teh senzorskih podatkov se ne shranjujejo na napravi, temveč v oddaljenih strežnikih podjetja DJI.

Azdoufal, ki je želel napravo predelati tako, da bi jo upravljal s krmilnikom igralne konzole, je skušal najti način, kako bi njegova lastna aplikacija komunicirala s strežniki DJI. To je dosegel tako, da je iz sesalca pridobil varnostni žeton, ki je dokaz, da je lastnik tega robotskega sesalca.

Namesto da bi strežniki preverili le verodostojnost njegovega žetona, so kodo z žetona obravnavali tako, kot da je Azdoufal lastnik "cele vojske robotskih sesalcev". Zaradi te napake je lahko dostopal do njihovih kamer v realnem času, aktiviral je lahko tudi mikrofon na sesalcu. Na podlagi podatkov, shranjenih v strežnikih podjetja DJI, bi lahko sestavil tudi 2D-tlorise domov teh sesalcev. Azdoufal vztraja, da ni poskušal vdreti v sistem, temveč je na to varnostno pomanjkljivost naletel po naključju.

To pa ni edini primer, ki v zadnjem času razburja javnost. Lastniki kamer Ring so v začetku meseca množično razpravljali na družbenih omrežjih po sporni reklami za funkcijo "iskalna akcija", namenjeno iskanju izgubljenih hišnih ljubljenčkov. Nekateri uporabniki so namreč menili, da bi lahko ta funkcija služila tudi kot prikrito orodje za širše spremljanje.

Približno v istem času so poročila, da je Google za potrebe preiskave ugrabitve Nancy Guthrie iz Arizone pridobil videoposnetke z zvonca Nest Doorbell, ponovno odprla vprašanja, koliko nadzora imajo potrošniki dejansko nad svojimi občutljivimi podatki.

Ameriški republikanci kot tudi demokrati že nekaj let opozarjajo, da številni kitajski tehnološki velikani, med drugim tudi DJI, predstavljajo posebno tveganje zaradi pomanjkljivosti v varnostnih sistemih.