Câteva linii de cod mai târziu, el a obținut acces, fără să își dorească, la aproximativ 7.000 de astfel de dispozitive, fără știrea proprietarilor acestora, informează AFP.
Dezvăluirea sa ilustrează riscurile potențiale pentru securitate pe care le prezintă obiectele casnice conectate, a căror popularitate este în creștere.
Grupul chinez DJI, care fabrică aceste aspiratoare din gama „Romo”, a dat asigurări că a corectat în prezent „vulnerabilitatea” detectată în software-ul său.
„Există o aplicație asociată cu aspiratorul”, a explicat programatorul francez, care locuiește în Barcelona. „Așadar, am încercat să înțeleg ceea ce trimitea aplicația către robot atunci când eu deplasam robotul”.
După ce a conectat o manetă a jocului său video, el și-a spus că aspiratorul putea să emită, de asemenea, un sunet de avertizare când bateria era descărcată. „Uneori, creierul meu este bizar”, a glumit programatorul, în vârstă de 32 de ani.
Acces neașteptat la mii de dispozitive
Cercetând și mai în detaliu pentru a găsi un indicator al stării bateriei, el a fost uimit și „puțin speriat” când a observat că a primit acces la datele asociate cu câteva mii de alte aspiratoare de acest tip.
„Puteți obține un plan complet al tuturor pieselor, puteți obține acces la camera video, la microfon” și să obțineți o localizare aproximativă a fiecărui aparat, a dezvăluit el.
Sammy Azdoufal, cuprins de panică, i-a scris producătorului chinez pentru a-l avertiza în legătură cu această breșă aparentă de securitate.
Programatorul francez, un fost specialist în securitate cibernetică, a dezvăluit că soția lui a acoperit de atunci camera video a aspiratorului lor, ca măsură de precauție.
Reacția companiei și actualizarea software-ului
În lipsa unui răspuns imediat din partea companiei producătoare, Sammy Azdoufal a contactat site-ul specializat The Verge, care i-a furnizat numărul de serie – compus din 14 cifre – al unui aspirator DJI Romo testat recent de un membru al echipei sale.
The Verge a confirmat apoi că programatorul francez a putut să obțină un plan locativ precis al jurnalistului său și să observe momentele când robotul era în curs de utilizare.
El nu a putut totuși să preia controlul asupra aspiratorului, nici să „vadă” în locuință prin camera sa video sau să asculte prin intermediul microfonului acestuia, a precizat The Verge, adăugând că producătorul DJI a restricționat între timp accesul la aceste funcții, după ce fusese alertat.
DJI, un producător de drone și alte dispozitive high-tech, cu sediul în orașul Shenzhen, vinde aspiratoare inteligente Romo, considerate produse de tip „vârf de gamă”, la prețuri care ajung la peste 1.200 de euro.
Contactat de AFP, producătorul chinez a precizat că a identificat „o vulnerabilitate ce afectează DJI Home în timpul unei examinări interne la sfârșitul lunii ianuarie și a remediat-o imediat”.
Problema în cauză a fost rezolvată prin două actualizări de software operate la începutul lunii februarie, „fără ca nicio acțiune să fie necesară din partea utilizatorilor”, a adăugat compania chineză.
„DJI se conformează normelor stricte în materie de confidențialitate și securitate a datelor și a implementat procese pentru a identifica și a trata vulnerabilități potențiale”, au transmis reprezentanții producătorului asiatic.
„Luăm în serios avertizările primite de la comunitatea din sectorul securității cibernetice și le examinăm cu rapiditate. Lucrăm pentru a consolida și mai mult mecanismul de verificare printr-un cod PIN și examinăm celelalte afirmații ale cercetătorului. Utilizăm o criptare conformă cu standardele din industrie și sisteme protejate prin dispozitive de securitate pe mai multe niveluri”, au adăugat ei.
