En påstått sikkerhetsbrist i en robotstøvsuger med kamera skaper reaksjoner etter at en modder hevder å ha fått tilgang til rundt 7000 DJI RoboVacs.
Oppdatert, 7. mars, 13:52:
DJI bekrefter nå at selskapet betaler en sikkerhetsforsker rundt 30 000 dollar etter at han oppdaget alvorlige sikkerhetshull i selskapets robotstøvsugere. Den nå rikere mannen heter Sammy Azdoufal. Opprinnelig skulle han bare forsøke å styre sin egen DJI Romo-robot med en Playstation-kontroller, men under eksperimenteringen oppdaget han imidlertid noe langt mer alvorlig: et nettverk med rundt 7000 robotstøvsugere som kunne nås eksternt.
DJI har nå bekreftet overfor The Verge at selskapet har belønnet en sikkerhetsforsker for arbeidet, selv om de ikke offentlig identifiserer personen. Ifølge en e-post Azdoufal har delt med publikasjonen, mottar han 30 000 dollar for én av sårbarhetene han oppdaget.
Annonse
DJI opplyser samtidig at en av de mest alvorlige feilene allerede er rettet. En sårbarhet gjorde det mulig å se videostrømmen fra en DJI Romo uten å angi sikkerhets-PIN. Ifølge selskapet ble denne svakheten fikset i slutten av februar.
DJI jobber også med å rette andre problemer som ble avdekket i forbindelse med undersøkelsen. En av sårbarhetene var så alvorlig at detaljene ikke ble publisert da historien først kom ut. Selskapet opplyser nå at de arbeider med en bred oppgradering av hele systemet for å forbedre sikkerheten.
Potensielt krisehull i DJIs robotstøvsuger
Informasjonen sprer seg via sosiale medier, der det beskrives hvordan svakheter i produsentens skyplattform kan ha gjort det mulig å koble seg til andre brukeres enheter.
Ifølge innleggene på X skal modderen ha hacket mobilappen til robotstøvsugeren for å analysere kommunikasjonen med produsentens sky. Under arbeidet skal det ha blitt oppdaget utilstrekkelig sikrede tilkoblinger som i teorien kunne gi uvedkommende tilgang til kamera og kontrollfunksjoner på andre enheter av samme modell.
For å demonstrere sårbarheten skal modderen ha koblet en Playstation-gamepad til, og brukt den til å styre robotstøvsugeren, inkludert navigasjon og kamerafunksjoner, noe som er en grusom personvernrisk om det stemmer. Demonstrasjonen skal samtidig ha vist at tilgang ikke var begrenset til kun hans enhet, men omfatter visstnok tusenvis av robotstøvsugere globalt.
MQTT skal være synderen
Flere beskrivelser peker på at kommunikasjonen mellom enhetene og skyplattformen benyttet MQTT (Message Queuing Telemetry Transport)-forbindelser uten tilstrekkelig autentisering og sikkerhet. Dette kan i praksis gjøre det mulig å overvåke videostrømmer, aktivere lyd og styre robotstøvsugeren eksternt dersom man kjenner til hvordan tilkoblingen fungerer.
Det er foreløpig uklart hvorvidt påstandene er verifisert av uavhengige sikkerhetsforskere eller produsenten selv. Enkelte hevder at fastvare-oppdateringer allerede skal ha lukket deler av sårbarheten, men at en mulig lydrelatert svakhet fortsatt kan eksistere.
Dersom opplysningene bekreftes, vil hendelsen være enda et eksempel på hvordan svake sikkerhetsmekanismer i IoT-produkter kan få globale konsekvenser. Eksperter anbefaler derfor å holde enheter oppdatert, bruke sterke konto-passord og aktivere tilgjengelige sikkerhetsfunksjoner der det er mulig.
