Vstup technologického giganta DJI na trh s domácimi spotrebičmi sprevádzali veľké očakávania. Spoločnosť je známa predovšetkým výrobou kvalitných dronov a foto príslušenstva, pričom jej prvý robotický vysávač mal priniesť povestnú precíznosť zariadení tejto značky priamo do našich obývačiek. Namiesto revolúcie v upratovaní však svet obletela správa, ktorá dôveryhodnosti tejto spoločnosti určite nepridá. Na tému upozornil portál Verge.
Vysávač ako dvere do vášho súkromia
Kvôli banálnej chybe v zabezpečení sa totiž tisíce domácností ocitli pod drobnohľadom jediného človeka, ktorému na „ovládnutie sveta“ stačil obyčajný ovládač k PlayStation.
Celý príbeh začal nevinne. Americký kutil a nadšenec do technológií, Dennis Giese (vystupujúci aj pod prezývkou Azdoufal), si chcel upratovanie jednoducho spríjemniť. Rozhodol sa upraviť softvér tak, aby mohol vysávač ovládať pomocou ovládača hernej konzoly. Pri skúmaní sieťovej komunikácie však narazil na takzvaný backdoor (otvorené „vráta“). Zistil, že server DJI, ktorý sprostredkováva komunikáciu medzi aplikáciou a robotom, nevyžaduje dostatočné overenie.
Výsledok? Po získaní autorizačného tokenu zo svojho vlastného zariadenia získal prístup k dátam ďalších 7 tisíc vysávačov po celom svete. Giese mohol v reálnom čase sledovať telemetriu cudzích zariadení, vidieť pôdorysy bytov a čo je najdesivejšie – získať prístup ku kamerám a mikrofónom. Bezpečnostný PIN kód, ktorý mal prenos obrazu chrániť, bol totiž overovaný len v aplikácii v telefóne, nie na samotnom serveri. Stačilo ho teda jednoducho obísť.
Zlyhanie v kritickom bode
Tento incident odhaľuje kritické zlyhanie v procese testovania. DJI, spoločnosť s miliardovými obratmi, zjavne podcenila základné princípy zabezpečenia IoT zariadení. Server nerozlišoval, či daný používateľ skutočne vlastní zariadenie, ktorého dáta žiada, a umožňoval hromadné sledovanie komunikácie cez protokol MQTT.
Hoci DJI po nahlásení chyby reagovalo rýchlo a bezpečnostnú hrozbu odstránilo, pachuť nedôvery zostáva. Spoločnosť sa pôvodne snažila tvrdiť, že o probléme vedela už skôr, no dôkazy naznačujú, že skutočná náprava prišla až po medializácii. Pre spotrebiteľov je to jasné varovanie. každé inteligentné zariadenie s kamerou je potenciálnym oknom do nášho súkromia.
