Španělský vývojář Sammy Azdoufal omylem zjistil, že je schopen na dálku ovládnout tisíce robotických vysavačů značky DJI a získat z nich citlivé údaje. Tvrdí přitom, že se nepokoušel dělat nic nekalého, jen chtěl svůj vysavač DJI Romo řídit pomocí ovladače ke konzoli PS5. Prostě proto, že mu to přišlo jako legrační nápad.
Když však jeho vlastní aplikace pro dálkové ovládání začala komunikovat se servery DJI, neodpověděl jen jeden vysavač. Zhruba 7 000 vysavačů po celém světě začalo Azdoufala považovat za svého majitele. Vyzkoušel proto možnosti na vysavači svého kamaráda.
Mohl jej ovládat na dálku, sledovat dění pomocí kamer a poslouchat okolí prostřednictvím jejich mikrofonů. Mohl sledovat, jak vysavač mapuje každou místnost v domě, a vytváří kompletní 2D půdorys. Mohl použít IP adresu kteréhokoli robota, aby zjistil jeho přibližnou polohu. Zjistil jsem, že moje zařízení je jen jedním z mnoha v moři zařízení,
říká Azdoufal.
Vysavače každé tři sekundy odesílají domů datové pakety MQTT se sériovým číslem, informacemi o uklízené místnosti, jakou vzdálenost urazily, kdy se vrátí k nabíječce a jaké překážky potkaly po cestě. Vývojář sledoval, jak se každý z těchto robotů pomalu objevuje na mapě světa. Devět minut po zahájení komunikace už měl notebook informace o 6 700 zařízeních DJI ve 24 různých zemích a shromáždil přes 100 000 jejich zpráv.
Pokud k tomu přidáme přenosné bateriové stanice DJI Power, které také komunikují s těmito servery, měl Azdoufal přístup k více než 10 000 zařízením po celém světě. Tato konkrétní chyba v MQTT bude zřejmě brzy napravena, ale incident otevírá řadu otázek ohledně bezpečnosti a soukromí. Proč mají například tyto vysavače mikrofony?
ČLÁNKY DO MAILU