Zranitelnost v systému DJI umožnila inženýrovi přístup k tisícům robotických vysavačů
Aby to mohl udělat, potřeboval pochopit, jak zařízení komunikuje s cloudovými servery DJI. Při tom použil AI asistenta, který mu pomohl s analýzou komunikace mezi aplikací a backendem.
Softwarový inženýr Sammy Azdoufal si chtěl jen vyzkoušet, jestli dokáže svůj robotický vysavač DJI Romo ovládat herním ovladačem.
Aby to mohl udělat, potřeboval pochopit, jak zařízení komunikuje s cloudovými servery DJI. Při tom použil AI asistenta, který mu pomohl s analýzou komunikace mezi aplikací a backendem.
To, co následovalo, ale nečekal.
Podle jeho zjištění totiž autentizační mechanismus backendu umožnil přístup nejen k jeho vlastnímu zařízení, ale i k přibližně 7 000 dalším robotickým vysavačům ve 24 zemích. Přístup zahrnoval živé kamerové náhledy, mikrofonní data, mapy interiérů a další provozní informace.
Azdoufal tvrdí, že nevyužil žádný exploit ani neobcházel zabezpečení – pouze pracoval s legitimně získanými přístupovými údaji, které mu systém přidělil. Podle jeho popisu šlo o chybu v logice oprávnění na straně serveru.
Jak to bylo možné
DJI Romo je autonomní domácí robot vybavený senzory, kamerami a cloudovou integrací. Aby mohl fungovat, musí:
- sbírat obrazová data z domácnosti
- vytvářet mapu prostoru
- komunikovat s cloudem
- ukládat část dat mimo samotné zařízení
Pro vlastní ovládací aplikaci potřeboval Azdoufal získat bezpečnostní token potvrzující vlastnictví zařízení. Podle jeho zjištění však server tento token nepřiřazoval striktně k jednomu konkrétnímu účtu, ale umožnil přístup k širší skupině zařízení.
To znamenalo možnost:
- přístupu ke kamerovým náhledům
- aktivace mikrofonů
- zobrazení 2D map domácností
- získání IP adres a přibližné lokace zařízení
Podle zveřejněných informací nebylo nutné instalovat malware ani provádět klasický útok – problém byl v implementaci backendu.
Reakce DJI
Společnost DJI uvedla, že zranitelnost identifikovala interně koncem ledna.
První oprava byla podle firmy nasazena 8. února, následná aktualizace pak 10. února. Oprava byla distribuována automaticky a nevyžadovala zásah uživatelů.
DJI zároveň oznámilo, že plánuje další bezpečnostní vylepšení, konkrétní technické detaily však nezveřejnilo.
Širší kontext: IoT v soukromém prostoru
Tento případ nekončí opravou zranitelnosti. Spíš začíná otázkou, jak jsou podobné systémy navrhovány.
Moderní domácí robot musí mít přístup k obrazu, zvuku i mapě interiéru. To je předpoklad jeho funkčnosti.
Stejný předpoklad by ale měl platit i pro bezpečnostní architekturu: že někdo komunikaci analyzuje, testuje a hledá slabiny.
Tentokrát to byl etický výzkumník.
Příště to může být někdo jiný.
Zdroj: Popular Science