Šokující chyba. Nadšenec chtěl ovládat svůj robotický vysavač gamepadem, místo toho se naboural do tisíců modelů

Robotické vysavače s kamerami a připojením k internetu mohou v některých případech představovat i bezpečnostní riziko, o čemž se nyní přesvědčili majitelé DJI Romo. Jeden nadšenec totiž při nevinném pokusu o ovládání svého vysavače herním ovladačem odhalil závažnou zranitelnost, která mu otevřela dveře k tisícům zařízení po celém světě.

Chtěl si jen pohrát, získal přístup k 7 000 vysavačům

Jak informuje server The Verge, Sammy Azdoufal se rozhodl naprogramovat aplikaci, která by mu umožnila ovládat jeho robotický vysavač DJI Romo pomocí ovladače ke konzoli PlayStation 5. K reverse engineeringu protokolů DJI využil nástroj umělé inteligence Claude Code. Když se ale jeho aplikace připojila k serverům výrobce, nezačal odpovídat jen jeho vlastní vysavač – přihlásilo se přibližně 7 000 zařízení z celého světa.

Azdoufal zjistil, že může vzdáleně ovládat cizí vysavače, sledovat živé záběry z jejich kamer a poslouchat zvuk přes integrovaný mikrofon. Zařízení mu také předávala kompletní půdorysy domácností, které postupně mapovala. Za pouhých devět minut jeho nástroj zaznamenal 6 700 robotů ve 24 zemích a shromáždil přes 100 000 jejich zpráv. Když připočteme přenosné powerbanky DJI Power využívající stejné servery, celkový počet přesáhl 10 000 zařízení.

The Verge si nechalo přístup ověřit

Redakce The Verge si tvrzení nechala ověřit na vlastním recenzním kusu. Stačilo předat 14místné sériové číslo vysavače a Azdoufal dokázal správně identifikovat, že zařízení uklízí obývací pokoj a má 80 % baterie. Během několika minut vygeneroval přesný půdorys domu redaktora, a to jen zadáním číslic do notebooku v jiné zemi.

Podle Azdoufala k získání přístupu nemusel prolomit žádné zabezpečení. Pouze extrahoval privátní token ze svého vlastního vysavače a servery DJI mu automaticky zpřístupnily data tisíců dalších uživatelů. „Neporušil jsem žádná pravidla, nic jsem neobešel, necrackoval ani nepoužil hrubou sílu,“ tvrdí.

DJI tvrdilo, že problém vyřešilo – nebylo to pravda

Když The Verge kontaktoval DJI, společnost prohlásila, že zranitelnost opravila již předchozí týden. Toto vyjádření redakce obdržela půl hodiny předtím, než jí Azdoufal v živé ukázce demonstroval přístup k tisícům vysavačů včetně jejich recenzního kusu. Teprve následující den DJI díru skutečně zacpalo.

Společnost nakonec přiznala „problém s ověřováním oprávnění na backendu“, který teoreticky umožňoval neoprávněný přístup k živému videu. DJI tvrdí, že data jsou šifrována pomocí TLS, ale jak upozorňuje Azdoufal i bezpečnostní výzkumník Kevin Finisterre, TLS chrání pouze přenos dat, nikoliv jejich obsah uvnitř serveru. Jakmile se útočník autentizuje jako klient, může bez omezení sledovat zprávy všech zařízení.

Není to ojedinělý případ

Bezpečnostní problémy robotických vysavačů nejsou výjimkou. V roce 2024 hackeři převzali kontrolu nad vysavači Ecovacs, aby pronásledovali domácí mazlíčky a křičeli rasistické urážky. Letos jihokorejské úřady odhalily zranitelnosti u modelů Dreame X50 Ultra, Ecovacs i Narwal, které umožňovaly přístup ke kamerám. Naopak vysavače od Samsungu, LG a Roborocku obstály dobře.

Případ DJI Romo tak opět otevírá otázku, zda by robotické vysavače vůbec měly mít kamery a mikrofony. „Je tak divné mít mikrofon na zatraceném vysavači,“ poznamenává Azdoufal. Alespoň jedna věc ho ale potěšila – svůj vysavač nakonec skutečně ovládá pomocí PlayStation ovladače.

Důvěřujete robotickým vysavačům s kamerou?

Zdroj: The Verge