- Robotické vysavače jsou nedílnou součástí našich domácností
- Čas od času se ale ukážou pochybnosti týkající se jejich zabezpečení
- Jednomu uživateli se povedlo omylem hacknout vysavač od firmy DJI
Firma DJI je známá hlavně díky pokročilým dronům, akčním kamerám a doplňkům k nim, ale věděli jste, že vyrábí i robotické vysavače? Model Romo patří k nejpokročilejším (a také nejdražším) v segmentu a seženete ho i u nás, konkrétně Romo S vyjde na zhruba 32 tisíc, Romo A na 36 990 Kč. Jenže to vypadá, že s bezpečností na tom nebude úplně ideálně, protože jeden jeho majitel se do něj omylem naboural. A nejen do něj.
Programování s pomocí AI má svá úskalí
Pokud se něco umělé inteligenci opravdu povedlo, je to zpřístupnění programování, tvorby aplikací a různých programů širší veřejnosti. Majitel vysavače DJI Romo, Sammy Azdoufal, si chtěl se svým robotickým pomocníkem užít o trochu více zábavy a začal přemýšlet, jestli by nebylo možné vymyslet způsob, jak ho ovládat pomocí ovladače z PlayStationu 5.
Nápad je to vpravdě zajímavý a mít možnost ovládat robotický vysavač přes ovladač, jako nějaké autíčko na ovládání, a zároveň tím uklízet byt, má něco do sebe. K uskutečnění svého plánu použil platformu Anthropic Claude, a to kvůli analýze aplikace DJI a pokusu o zpětné inženýrství protokolu, který aplikace používá ke komunikaci s vysavačem.
Pokus byl úspěšný… možná až moc
Claude tento oříšek rozlouskla a Sammy získal přístup k ovládání svého vysavače přes PS5 ovladač. Jenže se ukázalo, že se dostal nejenom do svého, ale do všech vysavačů DJI a mimo ně se naboural také do energetických stanic firmy. Komunikace vysavačů se servery výrobce a aplikací probíhá přes protokol MQTT a tento problém způsobil nedostatečný ověřovací systém.
Společnost sice používala ověření, ale to nebylo vázáno na konkrétní zařízení, a jakmile měl Sammy k dispozici jeden ověřovací token, získal přístup ke všem vysavačům značky a jejich informacím. Dostal se například k datům v podobě skenů půdorysů a dokonce i k záznamům z kamer vysavačů cizích lidí, kteří často bydleli klidně tisíce kilometrů daleko.
Zranitelnost byla opravena, ale vyskytla se další
Společnost DJI na tento průšvih naštěstí okamžitě zareagovala a tuto mezeru v zabezpečení opravila, ale jak upozorňují bezpečnostní experti, několik dalších zranitelností stále. Tyto nedokonalosti byly objeveny vlastně díky umělé inteligenci a tomu, že pomohla stvořit aplikaci, která byla nakonec mnohem schopnější, než měla původně být.
