ניסה לחבר שלט פלייסטיישן לשואב האבק החכם - וגילה במקרה פרצת אבטחה חמורה

סמי אזדופאל, מהנדס מספרד, השתמש בכלי AI כדי לשלוט בשואב האבק של חברת DJI וגילה לתדהמתו שהוא יכול לשלוט ב-7,000 מכשירים ברחבי העולם ולחשוף מידע רגיש כמו מצלמות, מפות בתים ונתוני משתמשים. "זה היה קצת מפחיד להבין כמה קל היה לעשות את זה", אמר. וגם: מומחה סייבר מסביר - למה המקרה הזה הוא נורת אזהרה אדומה?

mako דיגיטל

mako

פורסם: 25.02.26, 11:07 | עודכן: 25.02.26, 15:40

פרצת אבטחה חמורה: סמי אזדופאל, מהנדס מספרד, ניסה בסך הכל לחבר שלט פלייסטיישן 5 לשואב האבק החכם שלו מדגם Romo של היצרנית הסינית DJI, שהושק בחודש שעבר בתערוכת CES בלאס וגאס.

כדי לעשות זאת הוא השתמש בכלי הבינה המלאכותית הפופולרי, קלוד קוד. לתדהמתו הוא גילה כי באמצעות גישה רגילה לשרתים, ללא פריצה או עקיפה של מנגנוני אבטחה, הוא הצליח לשלוט בכ-7,000 מכשירים ברחבי העולם ולחשוף מידע רגיש כמו מצלמות, מפות בתים ונתוני משתמשים.

"זה היה קצת מפחיד להבין כמה קל היה לעשות את זה. לא הייתי צריך לפרוץ כלום, פשוט השתמשתי במערכת כמו שהיא", אמר אזדופאל. "יכולתי לראות מצלמות חיות, לשלוט במכשירים ולגשת למידע שלא הייתי אמור לראות".

הפרצה נבעה מליקוי חמור במערכת הענן של החברה, שאפשר לכל משתמש מאומת לגשת לנתונים של מכשירים אחרים. כך אזדופאל יכול היה לצפות בשידורי חיים ממצלמות השואבים, להאזין למיקרופונים, לראות מפות מפורטות של בתים ואפילו לזהות מיקומים משוערים של משתמשים.

שלט של פלייסטיישן 5 | צילום: charnsitr / Shutterstock.com

הגישה התאפשרה דרך פרוטוקול תקשורת המשמש את המכשירים לתקשורת בזמן אמת עם שרתי החברה, אך כזה שהיה ללא הגבלות הרשאה מספיקות. במילים אחרות, עצם קבלת מפתח דיגיטלי של מכשיר אחד אפשרה לפתוח גישה רחבה בהרבה מהמתוכנן.

פרסומת

אזדופאל פנה לחברת DJI ודיווח על הפרצה ולאחר הפרסום החלה החברה להפיץ עדכוני אבטחה. בחברה טוענים כי עד אמצע פברואר הופצו תיקונים שנועדו לסגור את הפרצה, אם כי חוקרי אבטחה אומרים שנותרו סימני שאלה לגבי בעיות מערכתיות עמוקות יותר במכשירי החברה.

נורת אזהרה אדומה

הפרשה מעוררת חשש לגבי אבטחת מכשירי בית חכם, במיוחד כאלה הכוללים מצלמות ומיקרופונים. מומחים מזהירים כי ככל שיותר מכשירים מחוברים לענן, כך גדל הסיכון שמידע אישי ופרטי ייחשף בעקבות כשלים באבטחה.

עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט, מסביר כי "החשיפה האחרונה על פריצה לשואבי אבק רובוטיים היא הרבה יותר מ'באג' טכני; היא הוכחה לכך שקו ההגנה על הפרטיות שלנו קורס תחת העומס הדיגיטלי. כמי שחשף בעבר פרצות במערכות ה-HomeHack של LG (שאפשרו השתלטות על מכשירי חשמל), בפרטיות המשתמשים של DJI ובחולשות של Amazon Alexa, אני רואה כאן שלב אבולוציוני מדאיג".

לדברי ואנונו, שני דברים השתנו דרמטית והופכים את האירוע הזה לנורת אזהרה אדומה: "מכפיל הכוח של ה-AI: אנחנו כבר לא בעידן שבו האקר יושב שבועות ומחפש חולשה ידנית. הבינה המלאכותית היא היום 'מאיץ חלקיקים' לגילוי חולשות (Vulnerability Discovery)", הוא מסביר. "היא מאפשרת לסרוק קוד ולהנדס לאחור (Reverse Engineering) מערכות IoT במהירות שיא. ה-AI מקצר את ה-'Time-to-Exploit' בצורה חסרת תקדים, מה שאומר שכל מכשיר שמחובר לענן נמצא בסיכון גבוה בהרבה מבעבר".

פרסומת

הוא מסביר כי הסכנה הבאה הגדולה היא למכוניות: "המעבר משואב אבק למכונית חכמה הוא קצר משחשבנו. מכונית מודרנית היא למעשה מחשב-על על גלגלים ששואב כמויות אדירות של דאטה אישי – מהקלטות קוליות ועד נתוני מיקום מדויקים – הכל נשמר בענן. אם שואב אבק יכול להפוך למכשיר ציתות, מכונית שנפרצת היא לא רק איום על הפרטיות, היא איום בטיחותי פיזי.

"המסר ליצרניות הוא חד: חולשות תמיד יהיו, אבל בעידן שבו ה-AI עוזר לתוקפים, הגישה של 'אבטחה כלאחר יד' במכשירי קצה פשוט לא יכולה להחזיק מעמד. הצרכן חייב להבין – ברגע שיש מצלמה, מיקרופון וחיבור לענן, הפרטיות היא כבר לא ברירת מחדל".

מצאתם טעות לשון?