En mjukvaruingenjör upptäckte allvarliga säkerhetsbrister i robotdammsugare när han försökte koppla sin enhet till en spelkonsol. Det som började som ett simpelt experiment ledde till oväntad åtkomst till tusentals hem över hela världen.
Sammy Azdoufal, en mjukvaruingenjör med tekniskt kunnande, utvecklade en egen applikation för att ansluta sin robotdammsugare till sitt Playstation 5. Hans ursprungliga mål var enkelt – att kunna styra dammsugaren med spelkonsolens kontroll.
Resultatet blev dock långt mer omfattande än han kunde ana. I en intervju med tekniksajten The Verge berättar Azdoufal om den chockerande upptäckten.
”Jag upptäckte att min enhet bara var en i ett hav av enheter,” förklarar han.
Det visade sig att han oavsiktligt fått fjärråtkomst till över 7 000 robotdammsugare i 24 olika länder. Säkerhetsbristen var så allvarlig att han kunde se genom robotarnas livekameror och följa hur de kartlade användarnas hem. För varje ansluten robotdammsugare kunde han se kompletta 2D-planritningar över bostäderna.
Säkerhetsbristen sträckte sig ännu längre. Azdoufal kunde även lokalisera robotarnas ungefärliga geografiska position genom deras IP-adresser, vilket potentiellt kunde avslöja användarnas hemadresser.
Ansvarsfullt valde Azdoufal att kontakta tillverkaren, det kinesiska företaget Da Jiang Innovations (DJI), för att rapportera de allvarliga säkerhetsbristerna. DJI är framförallt känt för sina drönare, men har under senare år expanderat till andra konsumentelektronikområden, inklusive robotdammsugare.
Efter att ha mottagit informationen agerade företaget relativt snabbt. Inom några dagar förlorade Azdoufal åtkomsten till alla de anslutna dammsugarna, inklusive sin egen.
Som erkännande för upptäckten belönades Azdoufal med 30 000 dollar, vilket motsvarar cirka 276 000 svenska kronor. Detta är i linje med branschpraxis där företag ofta erbjuder så kallade ”bug bounties” till säkerhetsforskare som upptäcker och rapporterar sårbarheter.
DJI har officiellt gått ut med ett uttalande där de hävdar att problemet är fullständigt åtgärdat. Dock menar Azdoufal att företaget fortfarande inte har adresserat alla sårbarheter han identifierade, vilket väcker frågor om hur omfattande säkerhetsluckan faktiskt var.
I en uppföljande kommunikation med tekniksajten Popular Science har DJI återigen bekräftat att alla säkerhetsproblem nu ska vara lösta.
Incidenten belyser de växande säkerhetsriskerna med uppkopplade hemenheter, ett fenomen som ökar i takt med att allt fler vardagsprodukter blir en del av ”sakernas internet” (IoT). Robotdammsugare med kameror, smarta dörrlås, uppkopplade kylskåp och andra enheter kan alla bli potentiella ingångar för obehöriga om säkerheten inte prioriteras.
Säkerhetsexperter har länge varnat för att många IoT-produkter lanseras med bristfällig säkerhet, där fokus ofta ligger på funktionalitet och användarvänlighet snarare än dataskydd. Denna incident ger ytterligare tyngd åt dessa varningar.
För konsumenter som använder uppkopplade enheter i hemmet understryker händelsen vikten av att hålla mjukvaran uppdaterad och att vara medveten om vilka tillstånd olika enheter har. Experter rekommenderar även att känsliga enheter placeras på separata nätverk och att man regelbundet byter lösenord.
Medan DJI nu arbetar med att förstärka säkerheten i sina produkter, fungerar denna incident som en viktig påminnelse om de osynliga riskerna med dagens allt mer uppkopplade hem.
10 kommentarer
Exploration results look promising, but permitting will be the key risk.
Exploration results look promising, but permitting will be the key risk.
Good point. Watching costs and grades closely.
Good point. Watching costs and grades closely.
Exploration results look promising, but permitting will be the key risk.
Good point. Watching costs and grades closely.
Good point. Watching costs and grades closely.
Exploration results look promising, but permitting will be the key risk.
If AISC keeps dropping, this becomes investable for me.
Exploration results look promising, but permitting will be the key risk.