Az IoT-biztonság történetének talán leglátványosabb öngólját rúgta a DJI: egy szoftvermérnök véletlenül „isten-módot” kapott nagyjából 7000 robotporszívó felett a világ 24 országában. A kutató, Sammy Azdoufal, távolról sem egy globális robotfelkelést akart kirobbantani; mindössze annyi volt a bűne, hogy a méregdrága, vadiúj DJI Romo porszívóját egy PlayStation 5 kontrollerrel akarta irányítani – mert hát miért is ne?
A modern kori álom megvalósításához Azdoufal egy AI-alapú kódolási asszisztenst hívott segítségül, hogy visszafejtse a robot kommunikációs protokolljait. Miután sikeresen kinyerte a saját eszközéhez tartozó hitelesítési tokent, csatlakozott a DJI szervereihez. Ám ahelyett, hogy csak a saját magányos padlósúroló minyonja jelentkezett volna be, egy körülbelül 7000 robotból álló hadsereg válaszolt a hívásra. A biztonsági rés teljes körű hozzáférést biztosított számára az élő kamera- és mikrofonfelvételekhez, a felhasználók otthonainak valós idejű 2D-s alaprajzaihoz, valamint több ezer gyanútlan tulajdonos eszközstátuszához.
A probléma gyökere egy tragikomikusan egyszerű, mégis katasztrofális biztonsági mulasztás volt. A DJI szerveroldali háttérrendszere ugyan hitelesítette a felhasználó tokenjét, de láthatóan elfelejtette megtenni a következő kritikus lépést: nem ellenőrizte, hogy a felhasználó valóban tulajdonosa-e annak a konkrét eszköznek, amelyhez hozzá akar férni. Gyakorlatilag bármilyen érvényes kulcs nyitotta a bolygó összes ajtaját. Azdoufal megjegyezte, hogy „nem szegett meg semmilyen szabályt, nem játszott ki semmit, nem tört fel semmit bruteforce-szal vagy egyéb módon” – egyszerűen csak besétált a tárva-nyitva hagyott digitális kapun.
Miért fontos ez?
Ez az eset iskolapéldája a modern IoT-eszközök biztonsági kockázatainak. Olyan termékekről beszélünk, amelyeknek intim bejárásuk van az otthonainkba – kamerákkal és mikrofonokkal felszerelve –, mégis előfordul, hogy a védelmük egy szúnyoghálóra szerelt lakat szintjén mozog. Bár a potenciális globális adatvédelmi katasztrófa lehetősége hatalmas volt, Azdoufal felelősségteljesen járt el, és azonnal jelentette a sebezhetőséget.
A DJI becsületére váljék, hogy lenyűgöző sebességgel reagáltak. A bejelentést követően a vállalat állítólag két napon belül egy szerveroldali javítással foltozta be a kritikus rést, így a felhasználóknak semmilyen teendőjük nem volt. Bár továbbra is kérdéses, hogyan kerülhetett ki egy ilyen alapvető hiba az éles rendszerbe, a gyors válasz megelőzte a katasztrófát. Tanulság minden IoT-gyártónak: tessék bezárni az ajtókat, és talán nem árt ellenőrizni azt sem, hogy a kulcsok nem nyitják-e véletlenül az egész szomszédságot.
