Il y a des histoires qui semblent tellement improbables qu'elles sont parfois difficile à croire. C'est l'aventure de Sammy Azdoufal. Il cherchait à contrôler son aspirateur Romo de DJI avec la manette de sa PlayStation 5... Avec une analyse des protocoles et une aide de Claude pour pousser les choses, d'une manière inattendue, l'application de contrôle à distance qu'il développe se met à se connecter aux serveurs de DJI qui fabrique des aspirateurs connectés... Résultat : plus de 7 000 aspirateurs sont concernés et répondent... 

Ce hack inattendu permet d'accéder à tout : les capteurs, entendre l'ambiance sonore, activer la caméra, générer les plans 2D, localiser les IP. En activant les aspirants, il pouvait recevoir les numéros de série, la pièce ne cours de nettoyage, des récupérés les messages MQTT, etc. 

Avec Claude, Sammy Azdoufal analyse les protocoles du constructeur. Et il précise à The Verge, qu'il n'avait piraté aucun serveur de DJI. Très vite, il prévient DJI des failles et des accès non autorisés. En quelques heures, DJI limite les accès et interdit toutes les connexions non autorisées. 

Ce hack, aussi involontaire soit-il, montre que les objets connectés sont toujours aussi peu sécurisés. Il "suffit" d'analyser les flux et les protocoles de communication pour créer une application. L'IA a sans doute permis d'aller plus vite dans l'analyse. Les connexions du hardware avec une application et des services cloud multiplient les couches et les problèmes potentiels. The Verge précise que les données des MQTT de DJI étaient en claires, ce qui n'aurait jamais dû être le cas ! Une configuration de configuration ou une mauvaise authentification sur les serveurs ?

Si DJI dit avoir bloqué les accès, est-ce que des mesures de sécurité profondes ont été appliquées ? The Verge précise que ce n'est qu'après plusieurs demandes que DJI avait reconnu qu'il y avait des problèmes de validations des autorisations sur les serveurs et que la faille avait été corrigée que dans un second temps...

"La vulnérabilité concernait un problème de validation des autorisations côté serveur, affectant la communication MQTT entre l'appareil et le serveur. Bien que ce problème ait créé un risque théorique d'accès non autorisé à la vidéo en direct de l'appareil ROMO, notre enquête confirme que les occurrences réelles étaient extrêmement rares. Presque toutes les activités identifiées étaient liées à des chercheurs en sécurité indépendants testant leurs propres appareils à des fins de rapport, à quelques rares exceptions près." explique DJI.

The Verge précise que DJI affirmait le 17 février corriger toutes les failles dans les semaines à venir...

Source : https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt