11
人間が誤って7,000台のロボット掃除機を制御してしまう
新しい DJI ロボット掃除機をビデオ ゲーム コントローラーで動作させようとしたソフトウェア エンジニアの偶然の試みにより、誤って何千もの人々の家に着陸することになりました。
サミー・アズドゥファル氏は、独自のリモコンアプリを構築する際、AIコーディングアシスタントを利用して、ロボットがDJIのリモートクラウドサーバーとどのように通信するかをリバースエンジニアリングしたと伝えられている。しかしすぐに、デバイスの表示と制御を許可するのと同じ資格情報で、24 か国の約 7,000 か所の他の掃除機からのライブ カメラ フィード、マイク音声、地図、位置データへのアクセスも可能であることがわかりました。バックエンドのセキュリティ バグにより、インターネットに接続されたロボットの軍隊が事実上暴露され、悪者の手に渡れば所有者が気づかないうちに監視ツールに変わる可能性がありました。
幸いなことに、アズドゥファルはこれを利用しないことに決めました。代わりに、彼らは調査結果を The Verge に共有し、The Verge はすぐに DJI に連絡して欠陥を報告しました。 DJIはこう述べていますが、 人気のある科学 問題は「解決」したが、この劇的なエピソードは、インターネットに接続されたロボットやその他のスマートホームデバイスがハッカーにとって魅力的な標的となっていると長年警告してきたサイバーセキュリティ専門家らの警告を強調するものである。
より多くの家庭が家庭用ロボット(より新しい、よりインタラクティブなヒューマノイドモデルを含む)を導入するにつれて、同様の脆弱性を検出するのが難しくなる可能性があります。 AI を活用したコーディング ツールは、技術的な知識が少ない人でもソフトウェアの欠陥を簡単に悪用できるようにするため、こうした懸念をさらに悪化させる危険性があります。
巨大なセキュリティホールに遭遇する
問題のロボットは、昨年中国で初めて発売され、現在他の国にも拡大している自律型家庭用掃除機「DJI Romo」だ。小売価格は約2,000ドルで、基地局に接続すると大型のテリアか小型の冷蔵庫ほどの大きさになります。他のロボット掃除機と同様に、周囲の移動や障害物の検出に役立つさまざまなセンサーが装備されています。ユーザーはアプリを通じてスケジュールを設定して制御できますが、ほとんどの時間を自律的に掃除とモップ掛けに費やすように設計されています。
Romo、あるいは実際に現代の自律型掃除機が機能するには、稼働している建物から視覚データを常に収集する必要があります。また、キッチンと寝室の違いについて具体的な詳細を理解し、両者を区別できるようにする必要もあります。そのセンサーデータの一部は、デバイス自体ではなく、DJI のサーバーにリモートで保存されます。アズドゥファルさんの DIY コントローラーのアイデアを実現するには、アプリが DJI のサーバーと通信し、ロボットの所有者であることを証明するセキュリティ トークンを抽出する方法が必要です。
単にトークンを検証するのではなく、サーバーはロボットの小さな軍隊へのアクセスを提供し、基本的にロボットをそれぞれの所有者として扱いました。この省略により、アズドゥファルはリアルタイムのカメラ フィードを利用してマイクをアクティブにすることができました。彼はまた、ロボットが働いていた家の 2D 平面図を編集できるとも主張しています。ロボットの IP アドレスをざっと確認すると、おおよその位置もわかります。アズドゥファル氏は、これはいずれも彼の側の「ハッキング」には当たらないと述べている。彼はちょうど重大なセキュリティ問題に遭遇しました。
「DJIは1月下旬の内部レビューを通じてDJI Homeに影響を及ぼす脆弱性を特定し、直ちに修復を開始した」とDJIは報告した。 人気の科学。 「この問題は 2 つのアップデートで解決され、最初のパッチは 2 月 8 日に展開され、フォローアップ アップデートは 2 月 10 日に完了しました。修正は自動的に展開され、ユーザーの操作は必要ありません。」
同社はさらに、「追加のセキュリティ強化を引き続き実装する」計画だと述べたが、何が含まれるかは明らかにしなかった。
接続済み: [The best robot vacuums]
住宅所有者はスマートホームのプライバシーコストに悩まされています
DJI のセキュリティ上の懸念は、スマート ホーム テクノロジーの監視機能に対する不安が一般的に高まっている中で生じています。今月初め、同社のペット探し「サーチパーティー」機能に関する物議を醸した広告が一部の人たちに大規模監視のためのトロイの木馬であると解釈され、リングカメラの所有者らがソーシャルメディアに殺到した。同じ頃、Google がハイジャック調査を支援するために Google Nest Doorbell のカメラからビデオ映像を復元できたという報道があり(その映像は以前に削除されていたことが示されていたにもかかわらず)、消費者が機密データを実際にどの程度管理できるのかについての議論が再燃しました。
さらに、米国の両政党の議員は、DJIや他の中国ハイテクメーカーが比類のない安全保障上の脅威をもたらしていると長年警告してきた。こうした主張の証拠は曖昧だが、一部の中国製製品の禁止を正当化するのに役立っている。
多くのロボット掃除機やその他のスマート ホーム デバイスの皮肉なことに、それらは私たちの最もプライベートな空間の一部で動作するという事実にもかかわらず、カテゴリーとしては疑わしいセキュリティ慣行の長い歴史があるということです。すべての兆候は、一般の人が間もなく、より多くのカメラとマイクを自宅に迎えることになることを示唆しています。 2020 年の時点で、市場調査会社パークス アソシエイツは、米国の 5,400 万世帯に少なくとも 1 台のスマート ホーム デバイスが設置されていると推定しています。他の調査によると、すでに持っている人はさらに追加を求めることが多いようです。
家庭に導入される特定の種類のデバイスも、より高度になっています。まだ初期段階ではあるが、テスラやフィグマなどの企業は、家庭内で生活して働くことができる人間に似た自律型ロボットの開発を競っている。 1Xと呼ばれる企業はすでにこうしたヒューマノイドの1つを小売りしており、皿を洗ったりクルミを割ったりできると主張しているが、その多くは人間の助けが必要だ。最終的に、これらの家庭用ロボットの使用人が効果的に機能するには、所有者の家の詳細にこれまでにないアクセスが必要になります。ストーカーやハッカーにとって、これは潜在的な金鉱を表します。
しかし、その言葉通り、アズドゥファルさんはジョイスティックでロボットを動かしたいだけなのに、この混乱にはまってしまったことに気づきました。その点では、任務は達成されました。
PS5 コントローラーで DJI Romo 掃除機を制御する
2025 PopScience 新着情報ベスト
