Sammy Azdoufal氏は、PS5コントローラーで自分のロボット掃除機を操作したいと考えていました。真のメイカーらしく、新しいDJI Romoを手動で操作するのは楽しいだろうと思いました。その結果、彼は数千の家庭を監視できる掃除用ロボットの軍団へのアクセスを得てしまいました。
純粋に遊び心から、Azdoufal氏はAnthropicのClaude Code AIコーディングアシスタントを使用してRomoの通信プロトコルをリバースエンジニアリングしました。しかし、彼の自作アプリがDJIのサーバーに接続した時点で、24カ国にわたる約7,000台のロボット掃除機が応答し始めました。
彼は、ライブカメラフィード、オンボードマイクを通じた音声を監視し、訪れたことのない家の間取り図を生成することができました。わずか14桁のシリアルナンバーだけで、彼はVergeのジャーナリストのロボットを特定し、バッテリーが80%の状態でリビングルームを掃除していることを確認し、別の国から他の家の正確な地図を作成しました。
技術的な欠陥は、ほぼ喜劇的なほど基本的でした。DJIのMQTTメッセージブローカーにはトピックレベルのアクセス制御がありませんでした。単一のデバイストークンで認証すると、他のデバイスからのトラフィックを平文で見ることができました。
応答があったのは掃除機だけではありませんでした。同じMQTTインフラストラクチャを実行しているDJIのPower ポータブルバッテリーステーションも検出されました。これらは22.5kWhまで拡張可能な家庭用バックアップジェネレーターで、停電時に家を稼働させ続けるために販売されています。
これが従来のセキュリティ発見と異なるのは、その方法です。Azdoufal氏はClaude Codeを使用してDJIのモバイルアプリをデコンパイルし、そのプロトコルを理解し、自分の認証トークンを抽出し、カスタムクライアントを構築しました。
AIコーディングツールは、高度な攻撃的セキュリティのハードルを低くしています。IoT(モノのインターネット)プロトコルをプローブできる人口はずっと増加し、セキュリティ・トゥ・オブスキュリティに対する信頼をさらに損なっています。
多くのIoT掃除機がなぜ不十分なのか
これがロボット掃除機をリモートで制御された最初の例ではありません。2024年には、ハッカーが米国の都市にわたるEcovacs Deebot X2掃除機を奪取し、スピーカーを通じてスラーを叫び、ペットを追い回しました。EcovacsのPIN保護はアプリでのみチェックされ、サーバーやデバイスではチェックされませんでした。
昨年9月、韓国の消費者監視機関が6つのブランドをテストしました。SamsungとLGは成績が良かったのに対し、3つの中国製モデルに重大な欠陥が見つかりました。Dreameの X50 Ultra はリモートカメラのアクティベーションを許可していました。研究者のDennis Giese氏は後にDreameのアプリのTLS脆弱性をCISAに報告しました。DreameはCISAの問い合わせに応じませんでした。
このパターンは何度も繰り返されます。メーカーは教科書的なセキュリティの失敗を伴う掃除機を出荷し、研究者を無視してから、ジャーナリストが公開したときに慌てます。
DJIの最初の対応は事態を悪化させました。広報担当者のDaisy Kong氏はThe Vergeに、その欠陥は前週に修正されたと述べました。その声明はAzdoufal氏が数千台のロボット、ジャーナリスト自身のレビューユニットを含むロボットがまだライブでレポートしていることを実演する約30分前に到着しました。DJIはその後、バックエンドのパーミッション検証の問題と2月8日と10日の2つのパッチを認める、より詳細な声明を発表しました。
DJIはTLS暗号化が常に実施されていたと述べていますが、Azdoufal氏は、それが接続を保護するのであって、その中身ではないと述べています。彼はまた、カメラフィードのPINバイパスを含む、未修正のままである追加の脆弱性がThe Vergeに伝えました。
規制当局が圧力をかけている
規制がゆっくりと到来しています。EUのサイバーレジリエンス法は、2027年12月までにブロック内で販売されるすべての接続製品に対して義務的なセキュリティバイデザインを要求し、罰金は最大1,500万ユーロです。2024年4月から施行されているUKのPSTI法は、スマートデバイスのデフォルトパスワードを禁止する世界初の法律になりました。対照的に、米国のサイバートラストマークは任意です。これらのフレームワークは、製造業者がどこに座っているかに関係なく技術的に適用されます。実際には、CISA調整リクエストを無視する深センの会社に罰金を強制することは、まったく異なる命題です。
安全を保つ方法
取ることができる実用的なステップがあります:
- 接続されたデバイスを購入する前に独立したセキュリティテストをチェックします
- IoTデバイスを別のゲストネットワークに配置します
- ファームウェアを更新したままにします
- 不要な機能を無効にします
そして、掃除機が本当にカメラが必要かどうか自問してください。多くのLiDARオンリーモデルはビデオなしで効果的にナビゲートします。デバイスにカメラやマイクが含まれている場合、その曝露に満足しているかどうかを検討してください。または、使用していない時はレンズを物理的に覆ってください。
翻訳元: https://www.malwarebytes.com/blog/news/2026/02/hobby-coder-accidentally-creates-vacuum-robot-army
