ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

ניתוח פרצת האבטחה ברובוט רומו חושף כיצד אלפי משפחות הועמדו בסיכון למעקב מרחוק דרך המצלמה והמיקרופון הביתי

15:23
  /     

בעידן שבו האינטרנט של הדברים הופך לחלק בלתי נפרד מהמרחב הביתי הפרטי, סוגיית אבטחת המידע במכשירי קצה חכמים מקבלת משנה תוקף קריטי. חשיפת פרצת האבטחה החמורה בשואב האבק הרובוטי DJI Romo אינה רק תקלה טכנית נקודתית, אלא עדות למחדל הנדסי עמוק בניהול פרוטוקולי תקשורת בין מכשירים לשרתי ענן. המקרה הנדון מציף שאלות נוקבות לגבי סטנדרטים של הצפנה, אימות זהויות והאחריות התאגידית של יצרניות טכנולוגיה מובילות המשלבות מצלמות וחיישנים רגישים בתוך הבית. פגיעות מסוג זה מדגימה כיצד ארכיטקטורת תוכנה לקויה עלולה להפוך מוצר צריכה לגיטימי לכלי פוטנציאלי לאיסוף מודיעין ויזואלי וקולי ללא ידיעת המשתמש.

הסיפור המדהים הזה מתחיל בבחור בשם סמי אזדופאל, שלא התכוון בכלל להפוך להאקר בינלאומי או לחשוף מחדלי אבטחה בקנה מידה עולמי. הוא בסך הכל רצה לשחק קצת עם השואב החדש שלו ולנסות לבדוק אם ניתן לשלוט בו מרחוק באמצעות שלט של קונסולת משחקים מסוג PS5, כי זה נשמע לו פרויקט משעשע ומעניין מבחינה טכנית. אולם ברגע שהוא בנה אפליקציית שלט רחוק מותאמת אישית וניסה לחבר אותה לשרתים הרשמיים של חברת DJI, הוא גילה לתדהמתו שהשרתים לא רק עונים למכשיר הספציפי שלו, אלא מעניקים לו גישה מלאה לאלפי מכשירים אחרים של לקוחות ברחבי העולם כולו.

ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

במקום לשלוט אך ורק ברובוט הפרטי שנמצא בסלון ביתו, סמי מצא את עצמו הופך למנהל המערכת של כמעט 7,000 שואבי אבק רובוטיים הפזורים בתוך 24 מדינות שונות על פני הגלובוס. המצב הזה נשמע אולי כמו תסריט דמיוני מסרט מתח הוליוודי, אך המציאות הטכנולוגית הייתה מפחידה ומוחשית הרבה יותר עבור המשתמשים התמימים. הוא גילה במהירות שהוא מסוגל לשלוט בהם מרחוק באופן מלא, לצפות בשידור וידאו חי דרך המצלמות המובנות שלהם ואפילו להאזין בזמן אמת לכל מה שקורה בתוך הבתים של אנשים זרים לחלוטין שמעולם לא פגש.

ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

הגישה שקיבל אזדופאל הייתה כמעט חסרת תקדים במונחים של חדירה לפרטיות ובקרה מרחוק. הוא יכול היה לצפות ברובוטים בעודם ממפים את החדרים השונים בבית, פעולה שיוצרת תוכנית קומה מלאה ומפורטת של הדירה בדו מימד המאפשרת להכיר את המבנה הפנימי של הבית. מעבר לכך, הוא גילה שניתן להשתמש בכתובת ה-IP הייחודית של כל רובוט ורובוט כדי לחלץ את המיקום הגיאוגרפי המשוער שלו. כל המחדל הזה התאפשר כי הפרוטוקול שבו בחרה החברה להשתמש, שנקרא MQTT, הוגדר בצורה רשלנית שאפשרה לכל גורם חיצוני לעקוף את מנגנוני האימות הבסיסיים.

ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

במהלך הדגמה חיה ומטרידה שניתנה לכתב של אתר הטכנולוגיה המפורסם The Verge, המראות שנחשפו על גבי המסך היו קשים לעיכול. מאות ואלפי רובוטים החלו להופיע על המפה כשהם משדרים חבילות מידע רגישות לשרת של אזדופאל בכל שלוש שניות לערך ללא הפסקה. המידע הזה כלל נתונים אישיים כמו המספר הסידורי של המכשיר, הגדרת החדר הספציפי שבו הוא פועל כרגע, תיאור המכשולים שהוא נתקל בהם ודיווח על המועד המדויק שבו הוא חוזר לעמדת הטעינה. בתוך פחות מ-10 דקות של פעולה, המחשב של סמי כבר הספיק לקטלג 6,700 מכשירי DJI שונים ואסף מעל 100,000 הודעות פרטיות.

ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

הפרצה החמורה הזו משמשת תזכורת כואבת וחשובה לכך שהבית החכם שלנו הוא לעיתים רחוקות מבצר מאובטח כפי שהיינו רוצים להאמין. כאשר אנו מחליטים להכניס לתוך המרחב האישי מכשיר המצויד במצלמה, מיקרופון וחיבור קבוע לרשת האינטרנט, אנו מפקידים את כל הפרטיות שלנו בידי היצרן. במקרה הנוכחי, חברת DJI שהיא ענקית טכנולוגיה גלובלית המוכרת בעיקר בזכות הרחפנים המתקדמים שלה, כשלה לחלוטין בשמירה על הסטנדרטים המינימליים של אבטחת מידע עבור הלקוחות שרכשו את מוצריה במיטב כספם.

חשוב להעמיק ולהבין את המשמעות הביטחונית הרחבה של היכולת לגשת למפה דיגיטלית של בית מגורים. מיפוי כזה, בצירוף גישה חופשית לעדשת המצלמה, מעניק לגורמים עוינים או פושעים פוטנציאליים ידע מדויק לגבי מיקומם של חפצים יקרי ערך בתוך הבית. בנוסף, ניתן ללמוד בקלות על נתיבי הכניסה והיציאה מהמבנה ואף לנטר את שעות הפעילות של בני הבית כדי לדעת מתי המקום נותר ללא השגחה. מצב זה הופך את שואב האבק, שאמור להיות מכשיר עזר תמים, לכלי ריגול מתוחכם ופולשני שפועל בלב המקום האישי ביותר שלנו.

כאשר בוחנים את ההיסטוריה של פתרונות אבטחה לעולם ה-IOT, ניתן לראות ניסיונות קודמים להתמודד עם איומים מסוג זה. בעבר כתבתי על פתרונות הגנה ייעודיים כמו מערכת ה-Dojo, שתפקידה לשמש כשומר סף עבור כל המכשירים החכמים בבית. מערכות כאלו נועדו ללמוד את תבניות ההתנהגות הרגילות של המכשירים ולזהות באופן מיידי כל ניסיון תקשורת חריג שיוצא אל שרתים לא מוכרים. השימוש בשכבת הגנה חיצונית כזו הופך להיות כמעט הכרחי כאשר היצרניות עצמן לא מצליחות לספק הגנה מספקת ברמת התוכנה של המכשיר עצמו.

ה-DJI Romo robovac סובל מאבטחה כל כך ירודה, שהאקר הצליח לקבל גישה מרחוק לאלפי שואבי אבק כאלו

המקרה המדאיג הזה מעלה שאלות אתיות ומשפטיות קשות בנוגע להיעדר רגולציה מחמירה בתחום המכשירים המחוברים. נכון להיום, חברות טכנולוגיה רבות ממהרות להוציא מוצרים לשוק כדי להקדים את המתחרים, תוך שהן מקריבות את היבטי האבטחה לטובת קיצור זמני הפיתוח. בעוד שמכשירים ייעודיים כמו צמיד המעקב 360 Child Guard המיועד לילדים או שעוני איתור לחולי אלצהיימר עוברים לעיתים בדיקות קפדניות יותר, מוצרי צריכה המוניים כמו שואבי אבק נשארים חשופים ופרוצים בשל חוסר בפיקוח ממשלתי הדוק.

לסיכום הנושא, הטכנולוגיה המודרנית מעניקה לנו כלים מופלאים לשיפור איכות החיים, אך היא דורשת מאיתנו רמת ערנות גבוהה מאי פעם. שואב אבק רובוטי הוא אכן עוזר יעיל שחוסך מאמץ רב, אך המחיר שלו לא יכול להיות חשיפה מלאה של חיינו האישיים בפני זרים. אני תקווה שחברות הענק יפיקו את הלקחים הנדרשים מהמבוכה הציבורית והמקצועית שנגרמה לחברת DJI ויתחילו לתת לאבטחת המידע את המקום הראוי לה בסדר העדיפויות. עלינו כצרכנים להמשיך ולדרוש שקיפות מלאה לגבי האופן שבו המידע שלנו נשמר ומוגן בכל רגע נתון.

לשרשור תגובות לחץ כאן