- Um usuário acidentalmente obteve acesso a milhares de drones DJI Romo em todo o mundo
- Informações confidenciais, incluindo plantas baixas e transmissões de vídeo ao vivo, foram expostas on-line
- A criptografia da comunicação estava intacta, mas o armazenamento do servidor permaneceu completamente vazio
Um hobby foi pego usando seu aspirador DJI Romo acessando, sem saber, milhares de outros dispositivos.
Sammy Azdoufal, consultor de IA, usou engenharia reversa para entender como Romo se comunicava com os servidores DJI. Ele não invadiu os sistemas da DJI contornando a criptografia, nem usou força bruta ou outros métodos ilegais.
As tentativas de controlar seu robô usando um controle remoto com protocolo privado retornaram dados vazios para acesso, incluindo mais de 6.700 dispositivos localizados em vários países, incluindo Estados Unidos, Europa e China.
Descoberta e detalhes técnicos
O problema central era que os dados de engenharia eram armazenados em texto simples no computador, o que permitia a qualquer pessoa ter acesso à leitura de plantas baixas, transmissões de vídeo ao vivo e entrada de microfone.
A criptografia para proteger as comunicações não apresentava falhas, mas os dados confidenciais ficavam expostos a qualquer acesso.
Azdoufal relatou imediatamente a vulnerabilidade à DJI, e a empresa emitiu atualizações para resolver alguns dos problemas, sem exigir a intervenção do usuário.
Várias vulnerabilidades permanecem, incluindo a capacidade de transmitir vídeo sem um PIN de segurança e outro problema descoberto devido à gravidade.
Os problemas restantes indicam que o armazenamento lateral de dados e o controle de acesso ainda precisam de atenção.
Infelizmente, este não é um caso único – o engenheiro descobriu anteriormente que seu aspirador inteligente ilife A11 enviava continuamente registros e telemetria para o dispositivo.
Quando a denúncia foi bloqueada pela rede, a empresa desativou o aparelho remotamente.
Usando técnicas de backup, ele restaurou a funcionalidade local, provando que a conectividade na nuvem não é estritamente necessária para o bom funcionamento do dispositivo.
Muitos consumidores compram dispositivos inteligentes por conveniência, mas casos como estes mostram os perigos potenciais quando utilizadores comuns podem aceder acidentalmente a dados privados.
Vídeos ao vivo, plantas baixas e outras informações podem ser expostas se os invasores explorarem vulnerabilidades semelhantes.
Os usuários devem estar cientes de que mesmo pequenas configurações incorretas ou falhas de design podem representar um grande risco à privacidade.
O caso dos aspiradores DJI Romo mostra que os dispositivos IoT podem ser uma oportunidade esmagadora na proteção de dados – como esta descoberta foi relatada de forma acidental e responsável, o sistema subjacente deixa vulneráveis as informações pessoais sensíveis.
Isto levanta fortes preocupações sobre o acesso desconhecido e potenciais ataques direcionados no futuro.
O caminho Ferragens do Tom
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para receber notícias, análises e opiniões de nossos especialistas em seu feed. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok Receba notícias, análises, unboxings em formato de vídeo e atualizações regulares nossas whatsapp também
