Nechtěl hacknout svět, jen propojit ovladač s robotem. Místo toho odhalil, jak vážně zranitelná jsou chytrá zařízení v našich domovech. Banální chyba v protokolu otevřela cestu k tisícům robotů, kamer a mikrofonů po celém světě – a ukázala, že kyberbezpečnost v IoT je stále v plenkách.
Nevinný sen, který začal ovladačem PlayStation 5 a robotickým vysavačem, skončil přístupem k flotile více než 7 000 jednotek. K dosažení svého cíle použil Claude Code (model umělé inteligence pro programování) a pustil se do vykuchání útrob robota DJI Romo tím, že získal přístup k jeho serverům i ovládání. V podstatě, jak jsem již řekl, bylo jeho záměrem řídit svého robota pomocí systému DualSense od společnosti Sony.
O několik hodin později, když už jeho domácí aplikace fungovala, zjistil, že nereaguje jen jeho dron, ale i více než 7 000 dalších dronů ve 24 zemích. Tímto způsobem získal přístup ke kamerám, mikrofonům a dokonce i k plánům domů, protože měl „oči“ a „uši“ uvnitř domovů jiných lidí po celém světě, aniž by opustil svůj gauč.
Nejneuvěřitelnější ze všeho je, jak snadné bylo převzít kontrolu nad flotilou tisíců robotů, protože 14místné sériové číslo mu umožnilo lokalizovat novinářova robota a nejen zkontrolovat jeho baterii, ale také vidět oblast domu, kterou uklízí. Zde byla příčinou katastrofy zcela základní chyba: systém MQTT neměl žádné kontroly „témat“, a proto mohl platný token otevřít provoz z jiných zařízení.
I hacked my dji romo and now can control it with my ps5 controller
byu/Worldly-Ease-3730 indji
Jako by to nestačilo, část tohoto provozu byla v rámci kanálu v otevřeném textu. Dalo by se tedy říci, že zámek existuje, ale dveře byly z mokrého kartonu. Ve skutečnosti nereagovaly pouze vysavače, ale také prostory DJI Power, které sdílejí infrastrukturu. Hovoříme tedy o zařízeních určených pro seriózní domácí zálohování.
Zde tento případ ilustruje moderní strach poháněný umělou inteligencí, protože kódové modely snižují laťku pro zkoumání protokolů a zároveň se množí počet „zvědavých uživatelů“. V tomto scénáři EU zpřísňuje svou ruku zákonem o kybernetické odolnosti a pokutami až do výše 15 milionů eur, ale bezpečnostní požadavky na připojené produkty musí být ještě přísnější.
Tento incident zdůrazňuje význam kybernetické bezpečnosti v zařízeních internetu věcí (IoT). S přibývajícím počtem zařízení připojených k internetu se rozšiřuje plocha pro útoky, což poskytuje škodlivým subjektům více příležitostí ke zneužití zranitelností. Zabezpečení internetu věcí je klíčové, protože tato zařízení často shromažďují citlivé osobní údaje a jejich kompromitace může mít závažné důsledky.
Odborníci na kybernetickou bezpečnost již dlouho varují před riziky spojenými se špatně zabezpečenými zařízeními internetu věcí. V mnoha případech dávají výrobci přednost funkčnosti a době uvedení na trh před zabezpečením, což vede k tomu, že produkty jsou zranitelné vůči útokům. Je nezbytné, aby výrobci zavedli robustní bezpečnostní opatření již při návrhu a aby si koncoví uživatelé byli vědomi rizik a podnikli kroky k ochraně svých zařízení.
V reakci na tyto výzvy se Evropská unie a další vládní subjekty snaží zavést přísnější předpisy pro připojená zařízení. Zákon o kybernetické odolnosti je krokem tímto směrem a snaží se zajistit, aby připojené produkty splňovaly odpovídající bezpečnostní standardy na ochranu spotřebitelů.