A Qubit+ tartalmai Gödi mérgezés Energiaéhség Magyar rákkutatók Szennyezett tápszer AI-orvoslás Epstein és a tudomány Zambia állatai

Egy férfi addig bütykölte a robotporszívóját, amíg 6700 másik készülék felett is átvette az irányítást

Bodnár Zsolt
február 24.
TECH

Sammy Adoufal csak egy olyan alkalmazást szeretett volna fejleszteni, amely lehetővé teszi, hogy Playstation-kontrollerrel irányíthatja saját, DJI Romo típusú robotporszívóját, de egy olyan biztonsági rést fedezett fel, amelynek kiaknázásával világszerte 6700 készüléket tudott egyszerre irányítani.

A férfi az Anthropic AI-kódoló eszközét, a Claude Code-ot használta, hogy visszafejtse a porszívó és a szerverek közötti kommunikációs protokollt, és megszerezze a saját eszközéhez tartozó privát tokent. A folyamat során azonban nemcsak a saját porszívójához nyert hozzáférést, hanem kb. 6700 másikhoz, így az Egyesült Államokon túl európai és kínai DJI Romo készülékekhez is. Ezáltal nemcsak irányítani tudta a világ több pontján található porszívókat, hanem hozzáfért azok kamerájához és mikrofonjához, illetve a porszívó által feltérképezett lakásalaprajzokhoz is.

Adoufal hangsúlyozta: nem tört fel semmilyen bonyolult rendszert, egyszerűen csak a saját eszközének azonosítójához igyekezett hozzájutni. A hibát jelezte is a kínai DJI-nek, amely központilag frissítette a rendszert és javította a problémát, anélkül, hogy az érintett felhasználóknak be kellett volna avatkozniuk. Rámutatott arra is, hogy bár a robot és a szerver közti kommunikáció titkosított, a tárolt adatok egyszerű szövegként szerepelnek, így ha valaki eljut odáig, különösebb erőfeszítés nélkül hozzájuthat mások adataihoz.

Ahogy a Tom's Hardware írja, az eset nem egyedülálló: 2025-ben egy iLife A11 robotporszívóról derült ki, hogy folyamatosan telemetriai adatokat küld a gyártónak, és amikor ezt a készülék tulajdonosa blokkolta, a cég távolról letiltotta az eszközt. A porszívót birtokló mérnök azonban nem adta fel: egy kis bütykölés után rájött, hogy újra lehet indítani az eszközt, ami úgy is használható, hogy nem csatlakozik a felhőhöz – annak ellenére, hogy ez az alapbeállítása.

Biztonsági szakértők szerint az ügy ismét rámutat az okosotthon-eszközök kockázataira: ha egy magánszemély véletlenül több ezer felhasználó adataihoz férhet hozzá, egy célzott támadás ennél jóval súlyosabb következményekkel járhat.