מהנדס התוכנה סמי אזדופאל גילה בטעות פרצת אבטחה רחבת היקף שאפשרה לו גישה לכ-7,000 שואבי אבק רובוטיים מדגם DJI Romo ברחבי העולם. אזדופאל רכש את המכשיר, שמחירו עומד על כ-2,000 דולר, אך סירב להשתמש באפליקציה הרשמית וביקש לפתח פתרון שיאפשר לו לשלוט בשואב באמצעות בקר משחק.
כדי לפצח את ה-API של החברה, נעזר המהנדס בכלי בינה מלאכותית וחילץ אסימון הזדהות (Auth Token) משרתי DJI. לאחר שהתחבר בהצלחה, נדהם לגלות כי המערכת לא ביצעה אימות בעלות ייחודי לכל מכשיר, והתייחסה אליו כאל הבעלים החוקי של אלפי יחידות נוספות הפזורות בבתים פרטיים ב-24 מדינות שונות.
עיניים בתוך הבית
המחדל ההנדסי אפשר גישה מלאה למידע הרגיש ביותר של המשתמשים: שידורי וידאו חיים מהמצלמות המובנות, האזנה דרך המיקרופונים ומפות דו-ממדיות של מבנה הבית. אזדופאל תיאר מצב שבו יכול היה לצפות בזרים בביתם, ללא ידיעתם, באמצעות שאילתת API פשוטה שהפכה אותו לאחד ה"פורצים" המיודעים ביותר בהיסטוריה.
נציין כי הפרצה הייתה מאפשרת לכל גורם זדוני לאסוף נתוני מיקום משוערים ומידע חזותי סביבתי. המהנדס הדגיש כי לא ניסה לנצל את המידע ופנה מיד לתקשורת, שדיווחה על הממצאים לחברה. האירוע ממחיש כיצד כשל בסיסי באימות זהות הופך מכשיר ביתי חכם לכלי ריגול פוטנציאלי.
תוך כמה זמן תוקן המחדל?
חברת DJI מסרה כי זיהתה את הפגיעות בסוף ינואר ופעלה במהירות לתיקונה. הפרצה טופלה באמצעות שני עדכונים אוטומטיים שהושלמו בין 8 ל-10 בפברואר, ללא צורך בפעולה מצד המשתמשים. למרות התיקון המהיר, בחברה לא פירטו על הצעדים שננקטו כדי למנוע הישנות של כשלי אימות דומים בעתיד.
כעת, מומחי אבטחת סייבר מזהירים כי האירוע מדגיש את הסיכונים הטמונים במכשירי IoT (האינטרנט של הדברים). בעידן שבו כלי בינה מלאכותית מקלים על איתור חולשות תוכנה, מכשירים שאוספים מידע חזותי וקולי הופכים ליעד רגיש במיוחד. המקרה מזכיר לצרכנים כי גם מוצרי יוקרה יקרים אינם חסינים מפני רשלנות בסיסית באבטחת המידע.
זו לא הפעם הראשונה בה מתגלה כי שואבי אבק רובוטיים מטפלים בצורה רשלנית בנתונים שהם אוספים. רק בשנה שעברה, מהנדס גילה ששואב ה- iLife A11החכם שלו שלח באופן עקבי נתוני פעילות בחזרה ליצרן. כאשר חסם את אפשרות הדיווח, היצרנית שלחה "קוד הרג" (Kill Code) כדי להשבית את המכשיר, ובפועל הפכה אותו ל"לבנה" חסרת שימוש.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו