מי אמר שצריך להיות האקר בשביל לקבל גישה לאלפי נתונים של משתמשים תמימים? מה שהתחיל כניסיון תמים של משתמש לשדרג את חוויית השימוש ברובוט שואב-שוטף החדש שלו, הפך לאחד ממחדלי האבטחה המביכים והמדאיגים ביותר שנראו לאחרונה בתחום.
הסיפור התחיל כאשר סמי אזדופל, בעלים של שואב-שוטף מדגם DJI Romo, הרובוט החדש של החברה שהושק לאחרונה בתערוכת CES בלאס וגאס וסימן את הכניסה של היצרנית הסינית לתחום השואבים הרובוטיים, ביקש לחבר את המכשיר לשלט של קונסולת הפלייסטיישן 5 שלו.
לצורך כך, הוא נעזר בכלי הבינה המלאכותית Claude Code כדי לכתוב אפליקציית קישור ייעודית. התוצאה הייתה בלתי נתפסת: במקום לשלוט רק במכשיר שבביתו, האפליקציה פתחה לו דלת אחורית לשליטה מלאה ב-7,000 שואבי אבק של החברה הפזורים ברחבי הגלובוס.
אלפי נתונים רגישים על מגש
הפרצה התגלתה כאשר אזדופל ניסה לחלץ את ה-"Token" הפרטי של המכשיר שלו - מפתח דיגיטלי שאמור לאמת את זהות המשתמש מול שרתי החברה. להפתעתו, השרתים של DJI לא הסתפקו בהחזרת הנתונים שלו, אלא הגישו לו "על מגש" נתונים של אלפי לקוחות אחרים.
בראיונות שנתן מאז התפרסם האירוע לכלי תקשורת טכנולוגיים בעולם, הדגיש אזדופל כי לא ביצע פעולת פריצה אגרסיבית או עקף הצפנות מורכבות; המערכת פשוט הייתה פרוצה מיסודה ברמת ניהול ההרשאות בשרת.
לדבריו, הוא קיבל גישה חסרת תקדים לפרטיותם של אלפי אנשים, שכללה גישה למצלמות המובנות של הרובוטים בבתי הלקוחות; האזנה באמצעות המיקרופונים המותקנים במכשירים; גישה למפות הדו-ממדיות המפורטות של פנים הבתים שהפיק הרובוט; ואפילו איתור כתובות ה-IP של המשתמשים לצורך הערכת מיקומם המדויק.
הפרצה לא הוגבלה לאזור גאוגרפי אחד, והיא היא כללה שרתים בארה"ב, סין והאיחוד האירופי, ואף חשפה שרתי פיתוח פנימיים של DJI שלא היו אמורים להיות חשופים לציבור.
החברה הצהירה על תיקון, אבל מה קורה בפועל?
החברה מצידה מיהרה להצהיר כי התקלה טופלה עוד בטרם הסיפור התפרסם. עם זאת, דיווחים מהשטח סותרים את הטענות האלו: כחצי שעה לאחר ההודעה על התיקון, אזדופל הראה כי הוא עדיין מסוגל לשלוט מרחוק באלפי שואבים.
יתרה מכך, הוא הצביע על כשלי אבטחה נוספים, כמו היכולת של משתמשים לצפות בזרם הווידאו של עצמם ללא צורך בקוד אבטחה (PIN), כפי שנדרש בפרוטוקול האבטחה של המוצר.
האירוע מעלה שאלות קשות בנוגע לסטנדרטים של DJI בתחום הבית החכם. אם משתמש בודד הצליח בטעות לקבל גישה כזו, אילו מנגנונים מונעים מעובדי החברה או מהאקרים מתוחכמים לעשות זאת?
והשאלה המטרידה מכולן, כפי שניסח זאת אזדופל: "למה בכלל צריך מיקרופון על שואב אבק?" (מבחינה טכנית ברור שזה עבור שליטה קולית, אבל השאלה היא האם זה בכלל נחוץ ושווה את סיכון האבטחה שבדבר, ר"ק).
הטכנולוגיה מתקדמת, וכך גם הסיכונים
שוק שואבי האבק הרובוטיים עבר כברת דרך ארוכה מאז השקת ה-Electrolux Trilobite הראשון ב-2001, או ה-Roomba המיתולוגי של iRobot ב-2002. בתחילת הדרך, המכשירים הסתמכו על חיישני אינפרה-אדום פשוטים והתנגשויות פיזיות כדי לנווט בחדר.
עם התפתחות הטכנולוגיה, הוכנסו מערכות SLAM (מיפוי ומיקום בו-זמני) המבוססות על לייזר (LiDAR) ומצלמות חכמות. אך בעוד שהטכנולוגיה הזו מאפשרת ניקוי יעיל בהרבה, היא הפכה את השואב למכשיר איסוף נתונים עוצמתי.
וזו אינה הפעם הראשונה שהתחום הזה סופג אש; בעבר נחשפו דליפות של צילומי פנים מבתים פרטיים (כולל רגעים אינטימיים) שהגיעו לרשתות חברתיות מתוך מערכות של חברות ויצרנים שונים בתחום.
המקרה של DJI מוכיח שוב כי בעידן ה-AI, הגבול בין נוחות טכנולוגית לחדירה פולשנית לפרטיות הוא דק מתמיד. כאשר כלי בינה מלאכותית הופכים את הכתיבה של קוד מורכב לנגישה לכל, היצרניות חייבות להבין שהן לא יכולות להרשות לעצמן פרצות בסיסיות כל כך בניהול השרתים שלהן.
