問題の発見

DJI Romoロボット掃除機は、セキュリティが非常に脆弱であり、ある男性が世界中の数千台を遠隔で制御できる状況を作り出しました。この問題は、彼がPS5ゲームパッドを使用して自宅のDJI Romoを遠隔操作しようとした際に発見されました。

セキュリティ上の脆弱性

この男性は、独自に開発したアプリケーションを使ってDJIのサーバーと通信を開始しましたが、その結果、彼のロボット掃除機だけでなく、世界中の約7,000台のロボット掃除機も制御可能になりました。彼はこれらのロボット掃除機のIPアドレスを使用して、それらの正確な位置情報を取得し、カメラからのライブ映像を視聴することができました。

影響範囲

• 約7,000台のDJI Romoロボット掃除機が世界中の24カ国で確認されました。
• DJI Power portable power stationsも同様のサーバーに接続されており、それらも含めると1万以上のデバイスが影響を受けました。

問題の対応

DJIはこの脆弱性を認識し、迅速に対策を行いました。しかし、DJIは最初に問題が解決されたと主張した一方で、実際には完全な修正が完了するまで時間がかかったことが明らかになりました。

セキュリティ上の懸念

DJIのこの脆弱性は、同社が米国から撤退させられつつある背景にある中国政府によるドローン規制をさらに強化させる可能性があります。また、ロボット掃除機にカメラやマイクが搭載されていること自体がプライバシー上の懸念を引き起こしています。

今後の対策

DJIはセキュリティの強化を約束しましたが、完全な修正が行われたかどうかについてはまだ確認が必要です。また、DJIだけでなく他のスマートホーム製品も同様の脆弱性を持っている可能性があり、業界全体でセキュリティ対策を見直す必要があると指摘されています。

元記事: https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt