Serious Security Flaw: Engineer Accidentally Gained Control of 7,000 Robotic Vacuums

Ένα εκτεταμένο κενό ασφαλείας σε ρομποτική σκούπα της DJI αποκαλύφθηκε τυχαία, όταν μηχανικός λογισμικού επιχείρησε να ελέγξει τη νέα του συσκευή χρησιμοποιώντας χειριστήριο βιντεοπαιχνιδιού. Το κενό αυτό τού επέτρεψε, θεωρητικά, να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε χιλιάδες συνδεδεμένες συσκευές, και κατ’ επέκταση σε σπίτια χρηστών σε ολόκληρο τον κόσμο.
Ο Σάμι Αζντουφάλ, σύμφωνα με το δημοσίευμα, χρησιμοποιούσε βοηθό τεχνητής νοημοσύνης για να κατανοήσει πώς η συσκευή επικοινωνεί με τους απομακρυσμένους διακομιστές (cloud servers) της DJI. Στόχος του ήταν να αναπτύξει δική του εφαρμογή τηλεχειρισμού. Ωστόσο, διαπίστωσε ότι τα ίδια διαπιστευτήρια (credentials) που του επέτρεπαν να ελέγχει τη δική του συσκευή, του έδιναν ταυτόχρονα πρόσβαση σε ζωντανές ροές κάμερας, ήχο από μικρόφωνα, χάρτες και δεδομένα κατάστασης από περίπου 7.000 άλλες ρομποτικές σκούπες σε 24 χώρες.
Το σφάλμα στο σύστημα backend ουσιαστικά εξέθετε έναν μεγάλο αριθμό συνδεδεμένων στο διαδίκτυο ρομπότ, τα οποία, όπως σημειώνεται, θα μπορούσαν να μετατραπούν σε εργαλεία παρακολούθησης χωρίς οι ιδιοκτήτες τους να το γνωρίζουν.
Δεν εκμεταλλεύτηκε το κενό ασφαλείας
Ο Αζντουφάλ δεν εκμεταλλεύτηκε το κενό ασφαλείας. Αντιθέτως, κοινοποίησε τα ευρήματά του στο The Verge, το οποίο επικοινώνησε άμεσα με την DJI για να αναφέρει το πρόβλημα.
Η εταιρεία δήλωσε στο Popular Science ότι το ζήτημα έχει «επιλυθεί», υπογραμμίζοντας ωστόσο το περιστατικό τις προειδοποιήσεις ειδικών κυβερνοασφάλειας ότι οι συσκευές έξυπνου σπιτιού και τα συνδεδεμένα ρομπότ αποτελούν ελκυστικούς στόχους για χάκερ.
Καθώς ολοένα και περισσότερα νοικοκυριά υιοθετούν οικιακά ρομπότ — συμπεριλαμβανομένων πιο διαδραστικών ανθρωποειδών μοντέλων — παρόμοιες ευπάθειες ενδέχεται να γίνουν δυσκολότερο να εντοπιστούν. Παράλληλα, τα εργαλεία τεχνητής νοημοσύνης που διευκολύνουν την ανάπτυξη κώδικα μπορούν να καταστήσουν ευκολότερη την εκμετάλλευση αδυναμιών από άτομα με περιορισμένη τεχνική γνώση.
Το μοντέλο DJI Romo και το πώς λειτουργεί
Η συσκευή που βρέθηκε στο επίκεντρο είναι η DJI Romo, μια αυτόνομη ρομποτική σκούπα που κυκλοφόρησε αρχικά στην Κίνα πέρυσι και επεκτείνεται σε άλλες αγορές. Κοστίζει περίπου 2.000 δολάρια και έχει μέγεθος αντίστοιχο ενός μικρού ψυγείου όταν βρίσκεται στη βάση φόρτισης.
Όπως οι περισσότερες σύγχρονες ρομποτικές σκούπες, διαθέτει αισθητήρες για πλοήγηση και ανίχνευση εμποδίων. Οι χρήστες μπορούν να τη ρυθμίζουν μέσω εφαρμογής, αν και έχει σχεδιαστεί ώστε να λειτουργεί αυτόνομα για καθαρισμό και σφουγγάρισμα.
Για να λειτουργεί σωστά, η Romo — όπως και άλλες αυτόνομες σκούπες — συλλέγει διαρκώς οπτικά δεδομένα από τον χώρο όπου κινείται. Πρέπει επίσης να «κατανοεί» διαφορές μεταξύ χώρων, όπως κουζίνα και υπνοδωμάτιο, ώστε να προσαρμόζει τη λειτουργία της. Μέρος αυτών των δεδομένων αποθηκεύεται στους διακομιστές της DJI και όχι αποκλειστικά στη συσκευή.
Για να λειτουργήσει η εφαρμογή που ανέπτυσσε ο Αζντουφάλ, απαιτούνταν επικοινωνία με τους διακομιστές της DJI και απόκτηση ενός διακριτικού ασφαλείας (security token) που να αποδεικνύει ότι είναι ο ιδιοκτήτης της συσκευής.
Αντί όμως να επαληθεύει ένα μόνο token, το σύστημα του έδινε πρόσβαση σε μεγάλο αριθμό ρομπότ, αντιμετωπίζοντάς τον ως ιδιοκτήτη τους. Αυτό του επέτρεπε να βλέπει ζωντανές εικόνες από κάμερες, να ενεργοποιεί μικρόφωνα, να συνθέτει δισδιάστατες κατόψεις των κατοικιών και να εντοπίζει κατά προσέγγιση τη γεωγραφική τους θέση μέσω των διευθύνσεων IP.
Ο ίδιος υποστήριξε ότι δεν πρόκειται για «χακάρισμα», αλλά για τυχαία ανακάλυψη σοβαρού κενού ασφαλείας.
Η απάντηση της DJI
Η DJI ανέφερε ότι εντόπισε την ευπάθεια μέσω εσωτερικού ελέγχου στα τέλη Ιανουαρίου και ξεκίνησε άμεσα διαδικασία αποκατάστασης. Σύμφωνα με την εταιρεία, το πρόβλημα αντιμετωπίστηκε με δύο ενημερώσεις λογισμικού: ένα αρχικό patch στις 8 Φεβρουαρίου και μια συμπληρωματική ενημέρωση στις 10 Φεβρουαρίου.
Η διόρθωση εφαρμόστηκε αυτόματα, χωρίς να απαιτείται ενέργεια από τους χρήστες. Η εταιρεία πρόσθεσε ότι σκοπεύει να προχωρήσει σε επιπλέον ενισχύσεις ασφαλείας, χωρίς να δώσει περισσότερες λεπτομέρειες.
Το περιστατικό επαναφέρει στο προσκήνιο τα ζητήματα προστασίας προσωπικών δεδομένων και κυβερνοασφάλειας σε μια εποχή όπου οι «έξυπνες» συσκευές εισέρχονται ολοένα και βαθύτερα στον ιδιωτικό χώρο των πολιτών.