Robotti-imurin omistaja Sammy Azdoufal halusi ohjata laitettaan Play Station 5-ohjaimella, ja tuli samalla paljastaneeksi merkittävän tietoturva-aukon.
Azdoufal teki Claude Code -tekoälytyökalulla sovelluksen, jotta voisi yhdistää uuden DJI Romo -imurinsa PS5 -ohjaimeen. Sitten hän huomasi jotain outoa: sovellus ei ohjannut vain hänen omaa imuriaan, vaan se ohjasi tuhansia.
Azdoufal oli vahingossa saanut hallintaansa noin 7000 DJI:n robotti-imuria ympäri maailmaa. Kaikki vastasivat koodiin, jonka hän oli tehnyt vain omaa laitettaan varten.
– Huomasin, että imurini oli vain yksi osa valtavassa laitemeressä, hän sanoi The Verge -lehdelle.
Kertomansa mukaan Azdoufal ei murtautunut DJI:n palvelimille. Sen sijaan hän poimi oman Romo-imurinsa yksityisen tunnisteavaimen, jonka on tarkoitus todistaa, että käyttäjällä on oikeus käyttää omaa laitettaan. DJI:n palvelimet kuitenkin lähettivät myös tuhansien muiden asiakkaiden laitetietoja.
Pelkän 14-numeroisen tunnisteen avulla Azdoufal pystyi etäohjaamaan robotti-imureita, katsomaan niiden reaaliaikaisia kamerakuvia ja kuuntelemaan mikrofoneja, tarkistamaan akun varaustason sekä muodostamaan täydellisen kaksiulotteisen kartan kunkin kodista. IP-osoitteen avulla hän pystyi myös arvioimaan laitteen sijainnin.
Hän pääsi käsiksi myös DJI:n esituotantopalvelimiin sekä Yhdysvalloissa, Kiinassa ja EU:ssa käytössä oleviin järjestelmiin. Azdoufalin mukaan hänen sovelluksensa kuitenkin poisti tiedot aina sulkeutuessaan.
Kiinalaisyhtiö DJI kertoi korjanneensa ongelman ennen The Vergen jutun julkaisemista.
Tämän jälkeen Azdoufalilla ei enää ollut pääsyä muiden laitteiden kameroihin tai mikrofoneihin. Noin puoli tuntia DJI:n virallisen lausunnon jälkeen hän kuitenkin kertoi pystyneensä yhä etäohjaamaan tuhansia imureita.
Azdoufalin ”vahinkohakkerointi” herättää kysymyksiä DJI:n älykotilaitteiden tietoturvasta laajemminkin. Jos Claude Code -työkalu pystyi avaamaan näkymän tuhansiin koteihin, millaisia sisäisiä mekanismeja DJI:llä on estämässä sen työntekijöitä tekemästä samaa? Ja miksi imurissa ylipäätään on mikrofoni?