Τουλάχιστον 3 χαρακτήρες
ΤΕΧΝΟΛΟΓΙΑ

Το κενό ασφαλείας που «άνοιξε» 7.000 σπίτια: Πώς ρομποτική σκούπα έγινε παγκόσμιο ρίσκο κυβερνοασφάλειας

Το κενό ασφαλείας που «άνοιξε» 7.000 σπίτια: Πώς ρομποτική σκούπα έγινε παγκόσμιο ρίσκο κυβερνοασφάλειας
Photo: Shutterstock
FORTUNE GREECE
FORTUNE GREECE
Ισπανός προγραμματιστής απέκτησε πρόσβαση σε χιλιάδες νοικοκυριά μέσω συσκευής της DJI, αποκαλύπτοντας σοβαρό cloud vulnerability με παγκόσμιες προεκτάσεις.
  • Προγραμματιστής απέκτησε πρόσβαση σε 7.000 ρομποτικές σκούπες σε 24 χώρες χωρίς hacking ή κλοπή κωδικών.
  • Το πρόβλημα εντοπίστηκε στο σύστημα αυθεντικοποίησης (authentication token) και στους cloud servers της εταιρείας.
  • Η υπόθεση αναδεικνύει τον αυξανόμενο κίνδυνο κυβερνοασφάλειας στις «έξυπνες» IoT συσκευές.

Ένα πείραμα τεχνολογικής περιέργειας κατέληξε σε ένα από τα πιο ανησυχητικά παραδείγματα αδυναμίας ασφαλείας στον κόσμο των «έξυπνων» συσκευών.

Ο Ισπανός μηχανικός λογισμικού Sammy Azdoufal αγόρασε μια premium ρομποτική σκούπα αξίας 2.000 δολαρίων από τη DJI, με σκοπό να την ελέγχει μέσω χειριστηρίου PlayStation. Αντί όμως να τη συνδέσει με την επίσημη εφαρμογή, δημιούργησε δικό του app, αξιοποιώντας το πρωτόκολλο επικοινωνίας MQTT.

Το αποτέλεσμα; Πρόσβαση -χωρίς hacking- σε 7.000 συσκευές της ίδιας εταιρείας σε ΗΠΑ, Κίνα και Ευρωπαϊκή Ένωση.

Τι πήγε λάθος

Κάθε συσκευή διαθέτει authentication token, ένα ψηφιακό «κλειδί» που πιστοποιεί ότι είναι αυθεντικό προϊόν. Οι servers της DJI επαλήθευαν ότι το token ήταν έγκυρο – όχι όμως σε ποια συγκεκριμένη συσκευή αντιστοιχούσε.

Αυτό το κενό ελέγχου επέτρεψε στο custom app του Azdoufal να «βλέπει» και να λαμβάνει δεδομένα από χιλιάδες ρομπότ που συνδέονταν στο cloud της εταιρείας.

ΔΙΑΒΑΣΤΕ ΑΚΟΜΑ

Κάθε τρία δευτερόλεπτα, η εφαρμογή μπορούσε να συλλέγει:

  • Σειριακούς αριθμούς συσκευών
  • Δεδομένα χαρτογράφησης (κάτοψη σπιτιού)
  • Κατάσταση φόρτισης και διαδρομές καθαρισμού
  • Πρόσβαση σε κάμερα και μικρόφωνο

Με βάση τις IP διευθύνσεις, μπορούσε ακόμη και να υπολογιστεί κατά προσέγγιση η γεωγραφική τοποθεσία των νοικοκυριών.

Ο ίδιος αποκάλυψε την υπόθεση στο The Verge, επισημαίνοντας ότι δεν προχώρησε σε κακόβουλη χρήση, αλλά σε υπεύθυνη γνωστοποίηση ευπάθειας.

Το μεγαλύτερο ζήτημα: IoT και cloud ασφάλεια

Η υπόθεση δεν αφορά μόνο μία εταιρεία ή μία συσκευή. Αγγίζει τον πυρήνα της αγοράς IoT (Internet of Things), όπου εκατομμύρια «έξυπνες» συσκευές — από σκούπες και κάμερες μέχρι θερμοστάτες και baby monitors – συνδέονται σε cloud υποδομές.

Όταν το authentication γίνεται με ελλιπή έλεγχο συσχέτισης συσκευής–χρήστη, το ρίσκο δεν είναι θεωρητικό. Είναι υπαρξιακό.

Η DJI προχώρησε σε ενημέρωση κώδικα (patch) μετά την επικοινωνία με τον προγραμματιστή, διορθώνοντας το κενό ασφαλείας.

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΕΣ ΕΙΔΗΣΕΙΣ:

TAGS