roboti
© Getty ImagesVojska robotskih usisavača je manje slatka i potencijalno opasnija
Sammy Azdoufal, softverski inženjer, slučajno je otkrio kritičnu ranjivost u sigurnosnom sustavu novog robotskog usisavača DJI Romo. Pokušavajući izraditi vlastitu aplikaciju koja bi mu omogućila upravljanje uređajem pomoću kontrolera za PlayStation 5, Azdoufal je koristio Claude AI asistenta za kodiranje kako bi analizirao komunikaciju robota s DJI-jevim poslužiteljima u oblaku. Međutim, umjesto pristupa samo vlastitom uređaju, sustav mu je dodijelio vjerodajnice koje su mu omogućile uvid u podatke tisuća drugih korisnika.

Stvorio "vojsku robotskih usisavača"

Ovaj propust u backendu praktički je izložio oko 7.000 robotskih usisavača u 24 zemlje jednom korisniku, koji to čak nije niti želio. Azdoufal je utvrdio da su mu poslužitelji, umjesto provjere pojedinačnog sigurnosnog tokena, omogućili pristup kao da je on vlasnik čitave flote uređaja. Time je dobio mogućnost praćenja videozapisa uživo, pristupa mikrofonima, kao i uvid u tlocrte domova te približne lokacije korisnika putem njihovih IP adresa. Ne treba posebno naglašavati koliko je to zapravo velik sigurnosni propust te koliko podataka o korisnicima je na ovaj način moglo biti kompromitirano.

Iako su ovakvi podaci u pogrešnim rukama mogli poslužiti kao alat za masovni nadzor, Azdoufal je odlučio svoja saznanja podijeliti s javnošću i samim proizvođačem. Iz tvrtke DJI potvrdili su postojanje ranjivosti, navodeći kako je problem identificiran internom revizijom krajem siječnja.