V tom, co by se dalo označit za nejvelkolepější „vlastní gól“ v nedávné historii bezpečnosti internetu věcí (IoT), získal jeden softwarový inženýr omylem přístup k „božskému režimu“ u zhruba 7 000 robotických vysavačů značky DJI napříč 24 zeměmi. Výzkumník Sammy Azdoufal se přitom nesnažil vyvolat globální vzpouru strojů; jen chtěl svůj nový, absurdně drahý vysavač DJI Romo ovládat pomocí ovladače k PlayStationu 5 – protože, upřímně, proč ne?
Aby si tento moderní technologický sen splnil, využil Azdoufal AI asistenta pro kódování, který mu pomohl s reverzním inženýrstvím komunikačních protokolů robota. Poté, co se mu podařilo úspěšně extrahovat autentizační token vlastního zařízení, připojil se k serverům DJI. Místo toho, aby se mu ozval jeho osamělý sluha na drhnutí podlah, odpověděla na volání armáda přibližně 7 000 robotů. Tato bezpečnostní trhlina mu naservírovala přístup k živému obrazu z kamer, odposlechu z mikrofonů, 2D půdorysům domovů v reálném čase a informacím o stavu zařízení tisíců nic netušících majitelů.
Jádrem problému bylo komicky jednoduché, a přesto katastrofální opomenutí. Backendové servery DJI sice ověřily uživatelův token, ale zjevně selhaly v dalším kritickém kroku: ověření, zda uživatel skutečně vlastní konkrétní zařízení, ke kterému se snaží přistoupit. Jakýkoli platný klíč tak mohl odemknout libovolné dveře na planetě. Azdoufal poznamenal, že „neporušil žádná pravidla, nic neobcházel, nehackoval, ani nepoužil hrubou sílu,“ čímž zdůraznil, že do systému v podstatě jen vešel dokořán otevřenými digitálními dveřmi.
Proč na tom záleží?
Tento incident je učebnicovým příkladem rizik moderních IoT zařízení. Produkty, které mají intimní přístup do našich domovů – a jsou vybaveny kamerami a mikrofony – jsou někdy zabezpečeny digitálním ekvivalentem petlice na zahradní brance. Ačkoliv byl potenciál pro masivní globální narušení soukromí obrovský, Azdoufal se zachoval zodpovědně a zranitelnost nahlásil.
Ke cti společnosti DJI slouží, že zareagovala s působivou rychlostí. Po obdržení upozornění firma údajně opravila kritickou chybu pomocí záplaty na straně serveru během pouhých dvou dnů, aniž by byla vyžadována jakákoliv akce ze strany uživatelů. Přestože zůstávají otázky, jak se takto elementární chyba vůbec mohla dostat do produkce, rychlá reakce zabránila potenciální katastrofě. Pro ostatní výrobce IoT je to jasná lekce: zamykejte si dveře a pro jistotu zkontrolujte, jestli vaše klíče nepasují do zámků v celé čtvrti.
