Bezpečnostná chyba v robotických vysávačoch DJI Romo v posledných dňoch otvorila širšiu tému ochrany súkromia pri smart zariadeniach. Prípad ukázal, že pri nesprávne nastavenom cloudovom prístupe môže jediný používateľ získať kontrolu nad tisíckami zariadení po celom svete vrátane prístupu ku kamere a mikrofónu.
DJI Romo a vzdialený prístup k tisícom zariadení
Bezpečnostnú medzeru odhalil používateľ, ktorý si vytváral vlastnú aplikáciu na ovládanie svojho robovysávača (chcel ho ovládať gamepadom). Pri testovaní zistil, že autentifikačný token jeho zariadenia umožňuje komunikovať nielen s jeho vlastným robotom, ale aj s tisíckami ďalších zariadení pripojených k rovnakému cloudu.
Problém nespočíval v prelomení šifrovania, ale v chybnej kontrole oprávnení na serverovej strane. V praxi bolo možné:
- sledovať živý obraz z kamier (vysavač je s kamerami)
- pristupovať k mapám interiérov
- získavať sieťové údaje
- potenciálne aj zariadenia ovládať.
Výrobca po upozornení nasadil bezpečnostné opravy. Incident však poukázal na to, že ochrana IoT zariadení často zaostáva za ich technologickými možnosťami.
Otázniky nad bezpečnosťou čínskych zariadení
Prípad zároveň zapadá do dlhodobej diskusie o bezpečnosti technológií vyrábaných v Číne. Nie je to prvýkrát, čo sa objavili pochybnosti o ochrane dát pri zariadeniach určených pre domácnosti. Smart kamery, vysávače, detské monitory či sieťové prvky často zbierajú obraz, zvuk aj detailné údaje o domácnosti.
Samotný pôvod výrobcu automaticky neznamená bezpečnostné riziko. Problém je skôr v kombinácii cloudovej architektúry, centralizovaného ukladania dát a nedostatočne auditovaného softvéru. Ak je bezpečnostná politika slabá alebo implementácia chybná, dôsledky môžu byť rozsiahle bez ohľadu na krajinu pôvodu.
Zariadenia z Číny sú však pod zvýšeným dohľadom regulačných úradov v USA a Európe, práve kvôli obavám z prístupu k citlivým dátam a potenciálnemu zneužitiu. Tento prípad tak opäť posilňuje otázku, do akej miery majú používatelia kontrolu nad tým, kam ich dáta smerujú.
Kamery v domácnosti ako rizikový bod
Najcitlivejšou časťou smart zariadení sú kamery a mikrofóny. Robotický vysávač dnes často obsahuje navigačné kamery, ktoré vytvárajú mapu bytu. Smart kamery sledujú vstupy do domu. Detské monitory prenášajú obraz aj zvuk z izby.
Ak sa k týmto dátam dostane neoprávnená osoba, nejde len o technický problém, ale o zásah do súkromia. Mapy domácností, rozloženie miestností, časové vzorce pohybu či IP adresy predstavujú hodnotné informácie.
Používatelia by preto mali zvážiť niekoľko základných krokov:
• pravidelne aktualizovať firmware
• meniť predvolené heslá
• vypínať vzdialený prístup, ak nie je potrebný
• zvážiť oddelenú Wi-Fi sieť pre IoT zariadenia
• overiť si, kde a ako sa ukladajú dáta
Alebo kupovať overené zariadenia a nie úplne novinky, ak majú kamery tak ideálne nie z Číny.
Prípad DJI Romo neznamená, že všetky podobné zariadenia sú nebezpečné. Ukazuje však, že komfort smart domácnosti ide ruka v ruke s rizikom. A pri zariadeniach s kamerou by mala byť opatrnosť samozrejmosťou.
Mimo toho je však DJI Romo veľmi dobre recenzovaný vysavač s inteligentým pohybom a kvalitným vysávaním.
DJI Romo robotický vysávač cloudový prístup ochrana súkromia IoT zariadenie smart zariadenie smart domácnosť bezpečnostná chyba
Komentáre