Os aspiradores robot DJI Romo atraíram as atenções por terem um modelo com a base transparente, mas agora estão a dar que falar por motivos mais preocupantes. Um utilizador conseguiu aceder remotamente a milhares de unidades devido a falhas graves na infraestrutura da DJI. O que começou como uma experiência para controlar o seu próprio aspirador usando um comando da PlayStation acabou por revelar 7.000 dispositivos que estavam a expor dados em tempo real.
Ao utilizar o token privado do seu próprio equipamento, os servidores MQTT da DJI permitiam acesso a informação de outros utilizadores. Os robots enviavam dados de poucos em poucos segundos, incluindo número de série, estado da limpeza, bateria, obstáculos detectados e até mapas detalhados das divisões da casa. Em alguns casos, era também possível visualizar transmissões de vídeo.
A DJI diz que corrigiu o problema com actualizações aplicadas no início de Fevereiro, classificando a falha como um "erro de validação de permissões no backend", e em vez disso tentando passar a boa imagem de que as comunicações entre dispositivos e servidor estavam encriptadas com TLS e que não existem indícios de exploração generalizada. Uma tentativa que falha completamente, pois de pouco serve que as comunicações estejam "encriptadas" se depois os dados no servidor permitem que qualquer utilizador tenha acesso à informação de todos os outros utilizadores!
Este caso vem demonstrar que, não é por se tratar de uma empresa conhecida e com boa reputação, que isso significa que automaticamente todos os seus produtos e serviços sejam "perfeitos". Agora, com falhas desta calibre, é inevitável surgirem dúvidas quanto às práticas de segurança de todos os demais produtos e serviços da DJI.
Sem comentários:
Enviar um comentário (problemas a comentar?)