Sammy Adoufal mesterséges intelligenciával foglalkozik, de nem ilyen minőségében használta fel a Claude Code-ot arra, hogy visszafejtse a DJI Romo robotporszívók és a DJI szerverei közötti kommunikációt biztosító protokollt. Pusztán csak annyit szeretett volna elérni, hogy saját porszívóját kézzel – egy PlayStation kontrollert használva – is irányíthassa. Ez sikerült is neki, azonban amikor elkezdte használni a kifejlesztett alkalmazást, arra döbbent rá, hogy nemcsak saját porszívójával tud kapcsolatba lépni, hanem a világon szétszórva még körülbelül 7000 másikkal is.
Nézzünk a robot szemével (forrás: The Verge)
Az így elkapott DJI Romók esetében pedig nemcsak távirányításra nyílt lehetősége, de belenézhetett a porszívókra szerelt kamerák által látott képbe, meghallgathatta, amit a mikrofonok rögzítenek, illetve a robotok által generált 2D térképet is letölthette – az IP címek alapján pedig hozzávetőleges helyzetüket is kideríthette. A kommunikáció során a robotok az okosotthonos környezetben igen népszerű MQTT protokollt használják, a három másodpercenként küldött adatcsomagok pedig tartalmazzák az adott készülék sorozatszámát, azt, hogy éppen hol tartanak a lakásban, mit láttak, mekkora távolságot tettek meg, ezalatt milyen akadályokba ütköztek és várhatóan mikor térnek vissza töltőállomásukra. A kommunikáció „feltöréséhez” egyáltalán nem volt szükség a DJI szervereihez hozzáférni, a rendszer ugyanis ugyanazt a tokent használta az összes porszívóhoz.
Térképletöltés (forrás: The Verge) [+]
Még szerencse, hogy a sztorit annak kirobbanása óta zárójelbe tehetjük, ugyanis miután Aodufal jelezte a sérülékenységeket, a DJI-nál viszonylag gyorsan befoltozták a réseket. A kérdés azonban ott marad az emberben: ha a Romónál ennyire nem foglalkoztak az adatbiztonsággal, vajon mi lehet a többi terméknél? Természetesen a baj nem azzal van, hogy egy robotporszívó a gyártó szervereivel kommunikál, pláne akkor, ha szeretnénk használni valamilyen távoli elérést igénylő szolgáltatást. A gond az, ha ez a kommunikáció a megfelelő titkosítás nélkül történik, és ezzel a felhasználó legbelső privát szférájába enged betekintést, illetve adott esetben segítséget nyújthat betörőknek vagy más „offline” bűnözőknek is. És nem a DJI az egyetlen, aki ilyen szempontból túl könnyelműen kezeli a háztartási robotok és okosotthonos eszközök piacán a védelmet: korábban már a Ecovacs és a Dreame esetében is fény derült hiányosságokra.
