Jak si omylem vytvořit vlastní armádu robotických vysavačů? Stačí vzít do ruky gamepad a z legrace se jím snažit ovládat svého domácího robota. Přesně to udělal jeden z majitelů vysavače DJI Romo. Kvůli bezpečnostní chybě se místo svého zařízení dostal k ovládání téměř 7 000 dalších vysavačů po celém světě.
Neúmyslně králem chytrých vysavačů
AI stratég Sammy Adoufal chtěl původně propojit svůj vysavač s ovladačem od PlayStation 5. Pomocí nástroje Claude Code od společnosti Anthropic analyzoval komunikační protokol, který DJI využívá pro spojený svých zařízení se servery.
Místo vlastního vysavače se mu podařilo získat soukromý token, s kterým získal kontrolu nad zhruba 6 700 vysavači v USA, Evropě i Číně. Teoreticky je mohl na dálku ovládat, sledovat živé přenosy z kamer nebo si prohlížet 2D mapy domácností, které vysavače vytvářejí při úklidu. K dispozici měl také IP adresy, takže dokázal určit jejich přibližnou polohu.
„Zjistil jsem, že moje zařízení je jen jedno z mnoha. Neporušil jsem žádná pravidla, neobešel jsem je, neprolomil jsem je hrubou silou ani ničím podobným,“ řekl Sammy Adoufal serveru TheVerge.
Adoufal naštěstí nevyužil bezpečnostní chyby k nelegálnímu počínání a kontaktoval přímo DJI, které problém vyřešilo několika aktualizacemi. Celý případ ale znovu otevírá otázku zabezpečení robotických vysavačů a poukazuje na řadu dalších nevyřešených problémů. Například to, že video z DJI Romo lze streamovat bez bezpečnostního pinu.
Není to ostatně poprvé, co by robotické vysavače nesprávně nakládaly se shromážděnými daty. Loni například jeden inženýr zjistil, že jeho chytrý vysavač iLite A11 neustále odesílá výrobci provozní a telemetrická data. Když tuto komunikaci zakázal, výrobce mu vysavač na dálku jednoduše zablokoval. Tehdy se mu podařilo vysavač s dávkou vynalézavosti zprovoznit offline.
zdroj: The Verge, Small World
ČLÁNKY DO MAILU