Ingénieurs utilisant Claude pour le rétro-engineering du robot aspirateur DJI Rômo de DJI, ont accidentellement obtenu le contrôle de 7 000 appareils dans le monde et accédé à la vie privée domestique. Les jouets AI fabriqués en Chine sont également souvent victimes de fuites de données personnelles, suscitant des préoccupations en matière de sécurité.
Le robot aspirateur DJI Rômo de DJI soulève des inquiétudes en matière de sécurité
Ils voulaient simplement contrôler le robot avec une manette PS5, mais ont fini par prendre le contrôle de 7 000 robots dans le monde ?
En février cette année, l’ingénieur Sammy Azdoufal a révélé à « The Verge » qu’il voulait simplement essayer de contrôler à distance le nouveau robot aspirateur DJI Rômo de DJI avec une manette PS5, puis utiliser Claude Code, un assistant de programmation AI, pour faire un rétro-engineering du protocole de communication entre l’appareil et le serveur cloud de DJI.
Après avoir connecté sa propre application au serveur, il a découvert qu’il ne contrôlait pas seulement son propre appareil, mais qu’il avait également obtenu le contrôle d’environ 7 000 robots aspirateurs DJI dans le monde.
Azdoufal a déclaré qu’il pouvait manipuler ces robots à distance, regarder et écouter via la caméra en temps réel, et même leur faire dessiner des plans d’étage précis de chaque pièce, avec la forme et la taille exactes.
Les tests médiatiques ont confirmé la faille, révélant qu’il suffit du numéro de série pour accéder à la vie privée domestique
Pour vérifier la faille du DJI Rômo, le journaliste de « The Verge » a demandé à son collègue Thomas Ricker, qui venait de finir une évaluation, de fournir le numéro de série à 14 chiffres du robot aspirateur DJI Rômo, et Azdoufal a réussi à retrouver le robot dans le système uniquement avec ce numéro, en indiquant qu’il nettoyait le salon avec 80 % de batterie restante.
Source : site officiel de DJI
Le robot aspirateur DJI Rômo de DJI soulève des inquiétudes en matière de sécurité
En quelques minutes seulement, ce robot situé dans un autre pays a généré et renvoyé un plan précis de la maison. Azdoufal a montré qu’il pouvait contourner le mot de passe de sécurité pour accéder directement à la vidéo en direct de son propre appareil.
Il insiste sur le fait qu’il n’a pas piraté le serveur de DJI, mais qu’il a simplement extrait un certificat privé de l’appareil, ce qui a permis au serveur de lui transmettre les données de milliers d’autres utilisateurs, toutes en clair.
DJI admet un problème d’authentification et affirme l’avoir corrigé
DJI, une grande entreprise chinoise spécialisée dans la fabrication de drones et de technologies, produit notamment des drones, des caméras et des robots aspirateurs, avec une part de marché de 70 % à 83 % dans le secteur civil et commercial.
Source : site officiel de DJI
Suite à la divulgation de cette faille de sécurité, la porte-parole de DJI, Daisy Kong, a publié une déclaration admettant que le problème concernait une faille d’authentification côté backend entre l’appareil et le serveur, et que l’entreprise avait découvert cette vulnérabilité fin janvier, déployant deux mises à jour en février pour la corriger.
DJI insiste sur le fait que, théoriquement, cette faille pourrait permettre à quelqu’un d’accéder sans autorisation aux images en direct des robots, mais que cela est extrêmement rare, la plupart des tests ayant été effectués par des chercheurs en sécurité sur leurs propres appareils, et que toutes les communications utilisent le chiffrement TLS.
Cependant, le chercheur en sécurité Kevin Finisterre souligne que, même si la transmission est chiffrée, si le serveur manque de contrôles d’accès appropriés, des employés ou des clients authentifiés peuvent facilement accéder aux données.
Les inquiétudes concernant la sécurité des jouets AI chinois éclatent également
Outre le robot aspirateur DJI, des médias ont récemment révélé des préoccupations concernant la sécurité et l’éducation liées aux jouets AI fabriqués en Chine.
Selon un rapport de « Wired » à la fin janvier, le chercheur en sécurité Joseph Thacker et Joel Margolis ont découvert que le backend de la société chinoise de jouets AI Bondu manquait de protections, ce qui a entraîné la fuite de plus de 50 000 données personnelles d’enfants et de conversations.
De plus, NBC News a signalé que la poupée Miiloo, fabriquée par la société chinoise Miriat, inculque aux enfants des positions politiques spécifiques, comme « Taïwan fait partie de la Chine ».
Une organisation de recherche sur l’intérêt public aux États-Unis a également mis en garde contre l’absence de filtres de contenu dans ces jouets AI, ce qui a conduit une commission spéciale de la Chambre des représentants sur la Chine à écrire au ministère de l’Éducation pour alerter sur les risques pour la vie privée et la sécurité nationale liés à ces appareils.
Pour en savoir plus :
Achetez-vous encore des jouets AI ? Bondu a divulgué 50 000 données d’enfants, et Miiloo propage l’idée que : Taïwan fait partie de la Chine
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
