Hackade robotdammsugare över hela världen – av misstag

Sammy Azdoufal hade inte för avsikt att hacka sig in i tillverkaren DJI:s system.

Missa inte: Ny elkabel till Danmark: ”Ett hot svenska plånböcker”. Realtid

Men genom att extrahera sin egna enhets privata token fick han via bolagets servrar tillgång till runt 7 000 robotdammsugare i 24 länder, utan att kringgå ett enda säkerhetslager, skriver The Verge.

Därifrån kunde han se live-kameraflöden, följa städrörelser i realtid och ta del av detaljerade planritningar av andra användares hem.

The Verge bekräftade sårbarheten i en direktdemonstration där Azdoufal, från Barcelona, med bara ett serienummer kunde identifiera en kollegas dammsugare, se att den städade vardagsrummet och hade 80 procents batteri kvar. Samt hämta en korrekt planritning över bostadens rum.

DJI på bollen redan innan

DJI hade påbörjat åtgärder mot delar av problemet redan innan The Verge publicerade sin granskning i februari, men erkände efteråt att den initiala patchen inte applicerats på alla servernoder.

Läs även: Instagram ligger nere – användare kan inte posta eller skicka DM. Dagens PS

Bolaget medgav också en ”backend-valideringsbugg” i MQTT-kommunikationen mellan enheterna och servern. De uppgav också att sårbarheten teoretiskt sett kunde ha gett obehöriga tillgång till live-video från Romo-enheter.

Utöver den ursprungliga säkerhetsbristen hittade Azdoufal ytterligare sårbarheter, däribland möjligheten att se Romons livevideo utan att ange säkerhetspinnen.

En tredje sårbarhet bedömde The Verge som alltför allvarlig för att beskriva i detalj. Båda uppges nu vara under åtgärd, och DJI säger att allt ska vara löst inom en månad.