Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Mógł kontrolować / oglądać kamery / słuchać audio z 6000+ odkurzaczy na całym świecie.
Hacker na początek przeanalizował sposób komunikacji robotów z chmurą DJI. Wszystko po to, żeby mógł kontrolować swój odkurzacz kontrolerem do Playstation (bo czemu nie? ;). Ostatecznie eksperyment się udał, ale wcześniej…:
Odkrył, że dane dostępowe (wygenerowany token) do jego odkurzacza pasują również do innych odkurzaczy w 24+ krajach. Mógł je zdalnie kontrolować / oglądać obraz z kamer / słuchać audio (testy wykonano na koledze), oglądać plan mieszkań, etc. Zrobił nawet appkę, dzięki której mógł kontrolować / namierzać dowolny odkurzacz DJI Romo na świecie (na foto):
Stream z kamery innej osoby:
Od strony technicznej wygląda na to, że kompletnie niezabezpieczony był serwer ~MQTT (serwer kolejkujący komunikaty) – atakujący mógł wrzucić tam odpowiednie komunikaty, które następnie były dostarczane do odkurzaczy na całym świecie (lub konkretnego). Dla dociekliwych – odkurzacze z LAN łączą się do serwera MQTT komunikacją wychodzącą – więc odkurzacze nie są widoczne tak bezpośrednio z Internetu. Nasz hacker musiał się podłączyć właśnie do serwera pośredniczącego MQTT, a z niego odkurzacze pobierają odpowiednie komunikaty i je przetwarzają.
DJI załatało podatność (chociaż zajęło im to 2 iteracje ;)
Jeśli interesują Cię tego typu tematy – zapraszamy na praktyczne, sekurakowe szkolenie z bezpieczeństwa sieci
~ms
No tak. Ktoś kupił sobie omamiony marketingiem odkurzacz z kamerką gdy wystarcza sam lidar i z mikrofonem gdy do sterowania wystarcza apka (gadanie do odkurzacza, do glosnika, do pilota to zuo!). Wciskają nam funkcje których nie chcemy i nie potrzebujemy a płacimy tym ze mamy szpiega w sieci lan i fizycznie w domu.
Nie zgadzam się z tym komentarzem. Te funkcje są bardzo przydatne trzeba tylko wiedzieć jak je uczciwie wykorzystać. Funkcja patro czy szukaj jest bezbłędna. Niestety są źli ludzie na tym świecie.
Mnie tam nie przeszkadza, że mnie pingpong podgląda
Ciekawe- a nie pisze o tym cz mógł również podglądać wszystkie dilda na świecie ?
Tak się tylko zastanawiam, po co w odkurzaczu jest zainstalowany mikrofon?
Żeby sterować głosem bez apki
chore, a po co tak? inwalidzi? czy przyszli inwalidzi?
No tak….
odkurzacz do nogi ….
Może jeszcze imię mu nadać
…. Stachu jeszcze pod szafkami…
nawet proszę nie trzeba mówić 🫣
Mój to fafik ;)
Mój BB8
Zawsze miałem ochotę zalogować się komuś do domu i mu ładnie podłogę posprzątać.
Ja zawsze proszę swojego szpiega, aby aby pilnował domu. Teraz to nabiera nowego znaczenia. Wyobrażam sobie minę chińczyka/Amerykanina który zastanawia się po przetłumaczeniu, czy na prawdę o nim wiem.
Miałem dziwne doświadczenie z robotem dreame ultra. Nie miałem żadnego zaplanowanego działania w okolice 21 godziny, a codziennie wyjeżdżał o tej porze że stacji, jechał do pomieszczenia o nazwie sypialnia, stawał na środku i kręcił się w koło jakby filmował. Po ok minucie takiego kręcenia się w kółko był komunikat “czyszczenie, zakończone” i normalnie jakby gdyby nigdy nic wracał do stacji. Zrobiłem twardy reset lecz po kilku dniach dalej to zaobserwowalismy. Dopiero po ustawieniu go i rozłączeniu z WiFi problem zniknął. Dreame tłumaczyło to błędem w oprogramowaniu, ale to nie wyglądało jak błąd tylko jakby ktoś fizycznie wysłał robot aby podglądać sypialnie z kamery.
A co Ty myślałeś? Że powiedzą ci tak proszę pana ktoś się włamał do pana odkurzacza i pana podglądał? Wiadomo że będą palić Jana
A śmietana po nim spływała kiedy się kręcił?
aby dodać lukru powiem tylko że z DRONAMI DJI też da się to zrobić :P
Mam 2 odkurzacze Dreame z kamerą i mikrofonem 😳