DIY ハッキングにより DJI Romo 掃除機の大きな欠陥が明らかに

ある愛好家は、DJI Romo 掃除機が誤って他の何千ものデバイスにアクセスできることを発見しました。

AI ストラテジストのサミーアズドゥファル氏は、リバースエンジニアリングを使用して、Romeo が DJI サーバーとどのように通信するかを理解しました。彼は DJI システムをハッキングしたり、暗号化をバイパスしたり、総当たり攻撃やその他の違法な方法を使用したりしませんでした。

彼は、PlayStation コントローラーを使用して自分のロボットを制御しようとしていましたが、プロトコルが追加のバキュームのためのプライベートトークンを返しました。そのトークンには、米国、ヨーロッパ、中国を含む複数の地域にある 6,700 台以上のデバイスが含まれていました。

調査結果と技術的な詳細

主な問題は、デバイスデータがサーバー上にプレーンテキストで保存されており、誰でも間取り図、ライブビデオフィード、マイク入力を読み取ることができることでした。

通信を保護する暗号化は完璧ではありませんでしたが、データストレージにより機密情報がアクセス権のある人に公開されてしまいました。

Azdoufal 氏は直ちにこの脆弱性を DJI に報告し、同社はユーザーの介入を必要とせずに問題の多くを解決するアップデートをリリースしました。

セキュリティ PIN なしでビデオをストリーミングする機能や、重大度が原因で不明な別の問題など、いくつかの脆弱性が残っています。

これらの残りの問題は、サーバー側のデータストレージとアクセス制御に依然として注意が必要であることを示しています。

残念ながら、これは特別なケースではありません。あるエンジニアは、iLife A11 スマート掃除機が常にログとテレメトリをメーカーに送信していることを以前に発見しました。

ネットワーク経由のレポートをブロックしたとき、同社はリモートでデバイスを無効にしました。

技術的な調整を使用してローカル機能を復元し、デバイスの適切な動作にはクラウド接続が必ずしも必要ではないことを証明しました。

多くの消費者は利便性を求めてスマートデバイスを購入しますが、このような事件は、一般ユーザーが誤って個人データにアクセスする可能性がある場合の潜在的なリスクを示しています。

攻撃者が同様の脆弱性を悪用すると、ライブビデオ、フロアプラン、その他の情報が漏洩する可能性があります。

ファイアウォールソフトウェアを使用し、ネットワークアクティビティを注意深く監視し、エンドポイントを保護することでリスクを軽減できます。また、AI ツールを広く使用することも、異常なパターンを特定するのに役立ちますが、これは検出を保証するものではありません。

ユーザーは、わずかな構成ミスや設計上の欠陥でも、重大なプライバシーリスクを引き起こす可能性があることを認識する必要があります。

DJI Romo 掃除機のケースは、IoT デバイスが強力なデータセキュリティよりも利便性を優先する可能性があることを示しています。この発見は偶然であり、責任を持って報告されましたが、固有の設計により機密の個人情報が脆弱なままになっています。

これは、意図しないアクセスと将来の潜在的な標的型攻撃の両方に関する正当な懸念を引き起こします。

を通して トムのハードウェア

Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。ぜひフォローボタンをクリックしてください！

そしてはい、あなたもできます TikTokでTechRadarをフォローしてください ニュース、レビュー、ビデオ形式の開封、および当社からの定期的な更新情報については、 ワッツアップ とても。