DR
- Um proprietário de aspirador DJI Romo tentou codificar um aplicativo para controlar seu aspirador com um controlador PS5.
- A autenticação insuficiente significou que ele conseguiu acessar fluxos de dados de toda a frota de aspiradores DJI.
- Desde então, a DJI fechou a maior falha de segurança aqui, mas outros problemas persistem.
Apesar de todas as críticas que a IA atrai com razão, também não podemos negar que ela conseguiu diminuir a barreira de entrada em tudo, desde a edição de fotos até a criação de música. Isso se estende à criação de aplicativos, e a codificação “vibratória” emergiu como uma forma surpreendentemente viável para muitos de nós começarmos o desenvolvimento de software. Mas só porque a IA pode gerar código não significa que a IA entende o que realmente está fazendo, como um proprietário de aspirador de robô aprendeu recentemente da maneira mais difícil.
Não quero perder o melhor de Autoridade Android?
Sammy Azdoufal estava querendo se divertir com seu aspirador DJI Romo e se perguntou se conseguiria encontrar uma maneira de dirigi-lo com seu controlador PS5. Ele disse A beira sobre suas tentativas, usando o Código Claude da Anthropic para analisar o aplicativo DJI e tentar fazer engenharia reversa do protocolo usado para se comunicar com os aspiradores da empresa.
Bem, Claude conseguiu quebrar essa noz. Mas, como Azdoufal rapidamente aprendeu, Claude pode ter apertado um pouco demais, porque sua ferramenta de controle remoto de vácuo de repente parecia ter acesso a todos dos aspiradores DJI – e não apenas esses, mas também as centrais elétricas da empresa.
Esses dispositivos DJI usam o protocolo MQTT para se comunicar com os servidores da empresa e o aplicativo nos telefones dos usuários e, embora a empresa empregasse autenticação, ela não estava vinculada a dispositivos específicos – uma vez que você tivesse um token de autenticação que pudesse extrair de um aplicativo DJI, você poderia usá-lo para ver os dados de todos, em qualquer lugar.
Para esses aspiradores, isso significava que Azdoufal era capaz de acessar varreduras de plantas baixas e até mesmo imagens de câmeras de aspiradores de estranhos, a milhares de quilômetros de distância. Embora a DJI tenha fechado as principais partes dessa brecha, impedindo que os usuários acessem os dispositivos de outras pessoas, ainda existem mais vulnerabilidades, como a capacidade de substituir o PIN para visualizar imagens de câmeras a vácuo. E só sabemos sobre eles porque a IA ajudou a construir um aplicativo que acabou sendo muito mais poderoso do que o esperado.
Obrigado por fazer parte da nossa comunidade. Leia nossa Política de Comentários antes de postar.
