Softwarový vývojář chtěl svůj robotický vysavač pouze ovládat pomocí herního ovladače. Místo toho však objevil závažnou bezpečnostní mezeru: díky digitálnímu klíči získal přístup k tisícům zařízení po celém světě – včetně obrazů z kamer a půdorysů bytů.
Poměrně neobvyklou akcí na sebe před několika týdny upozornil francouzský softwarový vývojář Sammy Azdoufal, který žije ve Španělsku. Původně chtěl pouze najít způsob, jak ovládat svůj robotický vysavač „Romo“ od čínského výrobce DJI pomocí herního ovladače. K tomu použil gamepad z konzole Nintendo PS5.
Při analýze komunikačního softwaru zařízení však narazil na překvapivý poznatek. Digitální klíč („token“) mu neposkytl přístup jen k jeho vlastnímu zařízení, jak by odpovídalo očekávanému stavu.
Token pro vysavače jako generální klíč
Ve skutečnosti token fungoval jako univerzální klíč. Během několika minut byl jeho počítač díky tomuto tokenu schopen získat data přibližně z 6 700 robotů ve 24 zemích. Azdoufal navíc dokázal přečíst více než 100 000 stavových hlášení a zjistit údaje o jejich poloze.
Tím to však neskončilo – mohl také získat přístup k obrazům z kamer a k mikrofonům, a dokonce nahlížet do půdorysů bytů. Vývojář se tak nechtěně stal „pánem“ celé flotily propojených zařízení.
Jak ve čtvrtek 12. března uvedl list Times of India, čínský výrobce DJI, který vyrábí mimo jiné také drony, vyplatil Azdoufalovi 30 000 dolarů (přibližně 690 000 korun). Šlo o odměnu v rámci takzvaného programu bug bounty. Díky informacím od Azdoufala mohl výrobce bezpečnostní mezeru u robotického vysavače nakonec odstranit pomocí aktualizace.
Robotické vysavače nebo dveřní kamery napojené na cloudové servery
Nejde o první incident, kdy hackeři získali přístup k robotickému vysavači. Například v květnu 2024 neznámí útočníci naprogramovali zařízení společnosti Ecovacs tak, aby křičela nadávky a dokonce pronásledovala psy. Také u zařízení firem Dreame Technology nebo Narwal Robotics se objevily mezery v zabezpečení kamer či podobné problémy s neoprávněným přístupem.
Takzvaný internet věcí (IoT) způsobil, že řada zdánlivě nenápadných domácích zařízení je dnes připojena k internetu. Týká se to robotických vysavačů stejně jako dveřních kamer nebo reproduktorů. Tato zařízení často obsahují kamery pro navigaci, mikrofony pro hlasové příkazy a senzory pro mapování prostoru.
K tomu přistupuje trvalé propojení s cloudovými servery a často také vzájemné propojení s dalšími zařízeními, která si mezi sebou vyměňují data. Zařízení pravidelně odesílají informace na servery – například o stavu baterie nebo o mapě bytu, ve kterém pracují.
Server přijímal tokeny – aniž by ověřoval oprávnění
Riziko vzniká tam, kde existují mezery v kontrole připojení a přístupových oprávnění. Aby bylo možné zařízení ovládat pomocí aplikace v chytrém telefonu nebo přes notebook, komunikuje se serverem. Mnohá zařízení k tomu využívají lehký komunikační protokol nazývaný MQTT.
Zjednodušeně řečeno zařízení se přihlásí k serveru a pravidelně odesílá stavová data. Aplikace majitele si pak odpovídající údaje ze serveru vyžádá. Server obvykle disponuje mechanismy, které pečlivě ověřují, který uživatel má přístup ke kterým datům.
Právě tyto kontrolní mechanismy v případě zařízení DJI, které používal Sammy Azdoufal, chyběly. Server jeho token přijal – aniž by ověřil, ke kterému zařízení patří. Důsledkem bylo, že mohl náhle vidět data ze všech zařízení. Efekt byl zhruba podobný situaci, kdyby host hotelu mohl svým klíčem od pokoje najednou otevřít všechny pokoje.
Co může způsobit hacknutý vysavač
Ačkoli se hacknutí vysavače může zdát neškodné nebo kuriózní, informace, které se tím mohou zpřístupnit, jsou velmi citlivé. Mnoho modelů robotických vysavačů totiž vytváří digitální půdorysy bytu, zaznamenává pohyb v domácnosti, časové rozvrhy obyvatel nebo pořizuje videozáznamy obytných prostor.
Tyto údaje by mohly být zneužity k plánování vloupání, ke špehování obyvatel nebo k analýze jejich návyků. Pohyblivé zařízení s kamerou se tak může snadno proměnit v jakousi pojízdnou sledovací kameru přímo v domácnosti.
Ve všech dosud dotčených případech jde o výrobce z Číny. Za bezpečnostní mezerou nemusí vždy nutně stát pokyn komunistického režimu. Často se v tom ale ukazuje i obecnější strukturální problém výrobců, kteří chtějí zařízení rychle uvést na trh – a činí tak na úkor bezpečnosti.
Čínské technologie jako riziko: od robotického vysavače až po „kill switch“ v autobusu
Podobná rizika existují také u propojených vozidel nebo telekomunikačních sítí, což v poslední době přiostřilo debaty o technologiích společností Huawei či ZTE v mobilních sítích nebo také o autobusech z Číny. Pokud lze zařízení ovládat na dálku, existuje teoreticky i možnost jejich vzdáleného vypnutí nebo sabotáže.
V Norsku byl například odhalen potenciál pro „kill switch“ u elektrických autobusů výrobce Yutong Bus, který lze aktivovat softwarem a mohl by vozidlo vyřadit z provozu. I při šifrovaném spojení se servery navíc mohou být data u propojených zařízení na serveru přístupná. Proto se v poslední době stále více států EU i samotný Brusel rozhodly zpřísnit pravidla pro takzvané vysoce rizikové dodavatele v kritické infrastruktuře, například v sítích 5G.
–etg–
