- Seorang pengguna secara tidak sengaja mendapatkan akses ke ribuan penyedot debu DJI Romo di seluruh dunia
- Data sensitif, termasuk denah lantai dan tayangan video langsung, diekspos secara online
- Enkripsi komunikasi masih utuh, namun penyimpanan server tetap tidak terlindungi sepenuhnya
Seorang penghobi menemukan itu miliknya DJI Romo Vacuum secara tidak sengaja mengizinkan akses ke ribuan perangkat lainnya.
Sammy Azdoufal, ahli strategi AI, menggunakan rekayasa balik untuk memahami bagaimana Romo berkomunikasi dengan server DJI. Dia tidak meretas sistem DJI atau menerobos enkripsi, dan dia tidak menggunakan kekerasan atau metode terlarang lainnya.
Dia mencoba mengendalikan robotnya sendiri menggunakan pengontrol PlayStation ketika protokol tersebut mengembalikan token pribadi untuk penyedot debu tambahan, termasuk lebih dari 6,700 perangkat yang berlokasi di berbagai wilayah, termasuk Amerika Serikat, Eropa, dan Tiongkok.
Penemuan dan detail teknis
Masalah intinya adalah data perangkat disimpan dalam teks biasa di server, yang memungkinkan siapa saja yang memperoleh akses untuk membaca denah lantai, umpan video langsung, dan input mikrofon.
Enkripsi yang melindungi komunikasi tidak cacat, namun penyimpanan data memaparkan informasi sensitif kepada siapa pun yang memiliki akses.
Azdoufal segera melaporkan kerentanan tersebut ke DJI, dan perusahaan mengeluarkan pembaruan untuk mengatasi beberapa masalah tanpa memerlukan campur tangan pengguna.
Beberapa kerentanan masih ada, termasuk kemampuan untuk melakukan streaming video tanpa PIN keamanan dan masalah lain yang dirahasiakan karena tingkat keparahannya.
Masalah-masalah yang tersisa ini menunjukkan bahwa penyimpanan data sisi server dan kontrol akses masih memerlukan perhatian.
Sayangnya, kasus ini tidak hanya terjadi satu kali saja – seorang insinyur sebelumnya menemukan bahwa penyedot debu pintar iLife A11 miliknya terus menerus mengirimkan log dan telemetri kembali ke pabrikan.
Saat dia memblokir pelaporan melalui jaringannya, perusahaan menonaktifkan perangkat tersebut dari jarak jauh.
Dengan menggunakan penyesuaian teknis, ia memulihkan fungsionalitas lokal, membuktikan bahwa konektivitas cloud tidak sepenuhnya diperlukan untuk pengoperasian perangkat yang benar.
Banyak konsumen membeli perangkat pintar demi kenyamanan, namun insiden seperti ini menunjukkan potensi risiko ketika pengguna biasa dapat mengakses data pribadi secara tidak sengaja.
Video langsung, denah lantai, dan informasi lainnya dapat terekspos jika penyerang mengeksploitasi kerentanan serupa.
Menggunakan perangkat lunak firewallpemantauan yang cermat, dan perlindungan titik akhir untuk aktivitas jaringan dapat mengurangi paparan, dan penggunaan yang lebih luas alat AI juga dapat membantu mengidentifikasi pola yang tidak biasa, meskipun hal ini tidak menjamin deteksi.
Pengguna harus menyadari bahwa kesalahan konfigurasi atau cacat desain sekecil apa pun dapat menimbulkan risiko privasi yang besar.
Kasus penyedot debu DJI Romo menunjukkan bahwa perangkat IoT mungkin memprioritaskan kenyamanan dibandingkan perlindungan data yang kuat – karena meskipun penemuan ini tidak disengaja dan dilaporkan secara bertanggung jawab, desain yang mendasarinya membuat informasi pribadi yang sensitif menjadi rentan.
Hal ini menimbulkan kekhawatiran mengenai akses yang tidak disengaja dan potensi serangan yang ditargetkan di masa depan.
Melalui Perangkat Keras Tom
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
