Gebruiker krijgt per ongeluk controle over 6.700 DJI robotstofzuigers door beveiligingslek

Verenigde Staten - Ekhbary Nieuwsagentschap

Gebruiker krijgt per ongeluk controle over 6.700 DJI robotstofzuigers door beveiligingslek

In een schokkende onthulling die de potentiële kwetsbaarheden van slimme thuisapparaten benadrukt, is een wijdverbreide beveiligingskwetsbaarheid ontdekt in de reeks robotstofzuigers van DJI. Het probleem bood ongeautoriseerde toegang tot gevoelige gebruikersgegevens van duizenden apparaten wereldwijd. De kwetsbaarheid werd onbedoeld aan het licht gebracht door een technologie-enthousiast en app-ontwikkelaar die experimenteerde met het besturen van zijn eigen apparaat met een PlayStation-controller. Wat begon als een persoonlijk project, ontgrendelde onverwacht toegang tot een enorm netwerk van stofzuigers, waardoor plattegronden en live videostreams werden blootgelegd.

Het incident ontvouwde zich toen AI-strateeg Sammy Adoufal besloot het communicatieprotocol van zijn DJI RoboVac te reverse-engineeren. Zijn doel was om een applicatie te maken waarmee hij het apparaat met een PlayStation-controller kon bedienen. Het resultaat ging echter veel verder dan zijn oorspronkelijke intenties. In plaats van alleen de controle over zijn ene apparaat te krijgen, ontdekte Adoufal dat hij ongeveer 6.700 andere RoboVac-apparaten die wereldwijd verspreid waren, kon benaderen en besturen.

Adoufal verduidelijkte aan The Verge dat hij geen kwaadwillige hackactiviteiten heeft ondernomen. Zijn acties bestonden uit het verkrijgen van de persoonlijke authenticatietoken voor zijn eigen RoboVac. "Ik heb geen regels overtreden, ik heb geen beveiliging omzeild, ik heb niet gehackt, brute force gebruikt, niets", verklaarde hij. Deze token, bedoeld voor zijn apparaat, bood onbedoeld toegang tot live servers wereldwijd, waaronder die in de VS, Europa en China. De ontdekking legde een kritieke beveiligingsfout bloot die ernstige privacyimplicaties had kunnen hebben.

Gelukkig koos Adoufal ervoor om verantwoordelijk te handelen. In plaats van de kwetsbaarheid te misbruiken, meldde hij het probleem onmiddellijk aan DJI. Het bedrijf erkende het rapport en bracht vervolgens verschillende updates uit om de beveiligingslek te dichten. Deze updates waren ontworpen om geen gebruikersactie te vereisen, waardoor een snelle oplossing voor getroffen klanten werd gegarandeerd. Ondanks de correctie merkte Adoufal op dat er nog enkele resterende beveiligingszorgen zijn. Hij wees op het voortdurende vermogen om videostreams van een DJI RoboVac te streamen zonder een beveiligings-PIN, en ten minste één ander niet-onthuld probleem, dat vanwege de ernst ervan als ernstig werd beschouwd.

Cruciaal benadrukte Adoufal dat de kern van het probleem niet alleen lag in zwakke encryptie. Hij onthulde dat de gegevens die door de robotstofzuigers naar hun servers werden verzonden, in platte tekst (plain text) werden opgeslagen. Dit betekent dat iedereen die toegang krijgt tot de server, de gegevens gemakkelijk kan lezen en interpreteren, waardoor deze extreem kwetsbaar wordt voor inbreuken. Deze bevinding wijst op een fundamenteel defect in de praktijken voor gegevensbeheer en -opslag, naast de communicatie-encryptie.

Dit incident is geen opzichzelfstaand geval van slimme stofzuigers die gebruikersgegevens verkeerd beheren. Vorig jaar ontdekte een ingenieur dat zijn iLife A11 slimme stofzuiger voortdurend logboeken en telemetriegegevens naar de fabrikant stuurde. Toen hij probeerde deze transmissies op zijn netwerk te blokkeren, reageerde de fabrikant door een 'kill code' te sturen die het apparaat op afstand uitschakelde, waardoor het effectief onbruikbaar werd. Via zijn eigen technische expertise slaagde de ingenieur erin de stofzuiger te herstellen en volledig offline te laten werken, wat aantoont dat cloudconnectiviteit niet altijd essentieel is voor de functionaliteit.

Nu steeds meer consumenten Internet of Things (IoT) apparaten voor gemak adopteren, nemen de zorgen over privacy en gegevensbeveiliging toe. Apparaten zoals robotstofzuigers, slimme camera's en verbonden apparaten bieden een ongeëvenaard gebruiksgemak, maar creëren tegelijkertijd nieuwe wegen voor potentiële uitbuiting. Het DJI RoboVac-incident dient als een duidelijke herinnering dat beveiligingskwetsbaarheden onverwacht kunnen ontstaan, zelfs door niet-kwaadwillige experimenten. Als gewone mensen per ongeluk op privégegevens van duizenden kunnen stuiten, dan kan de potentiële schade van een gecoördineerde kwaadwillige aanval exponentieel groter zijn.

Deze gebeurtenis benadrukt de kritieke noodzaak voor technologiefabrikanten om prioriteit te geven aan beveiliging en privacy bij het ontwerp en de ontwikkeling van IoT-producten. Robuuste beveiligingstests, veilige gegevensbehandelingpraktijken en sterke encryptie zijn van het grootste belang. Gebruikers moeten ook waakzaam blijven, ervoor zorgen dat hun apparaten up-to-date zijn en hun thuisnetwerken veilig zijn om potentiële risico's in verband met verbonden technologie te beperken.

Ekhbary Nieuwsagentschap