남자가 실수로 7,000대의 로봇 청소기를 제어하게 되다

Source: Slashdot

개요

소프트웨어 엔지니어가 비디오 게임 컨트롤러로 로봇 청소기를 조종하려고 시도했지만, Popular Science 에 보고된 바와 같이 “수천 가구의 집을 엿볼 수 있게 되었다”.

발견

자신만의 원격 제어 앱을 만들던 중, Sammy Azdoufal은 AI 코딩 어시스턴트를 이용해 로봇이 DJI의 원격 클라우드 서버와 통신하는 방식을 역공학했다. 그는 자신의 장치를 보고 제어할 수 있게 해주는 동일한 인증 정보가 다음에도 접근할 수 있게 해준다는 것을 발견했다:

• 실시간 카메라 피드
• 마이크 오디오
• 지도 및 상태 데이터

이 데이터는 24개 국가에 걸쳐 7,000대에 달하는 다른 청소기에서도 이용 가능했다.

잠재적 영향

백엔드 보안 버그로 인해 인터넷에 연결된 로봇 군대가 노출되었으며, 악의적인 손에 넘어가면 소유자가 전혀 모르는 사이에 감시 도구로 전락할 수 있었다. Azdoufal은 이 취약점을 악용하지 않기로 했으며, 그의 발견을 The Verge에 보고했고, The Verge는 즉시 DJI에 연락했다 — Verge 기사 보기.

또한 Azdoufal은 로봇이 작동 중인 가정의 2D 평면도를 컴파일할 수 있었고, 로봇의 IP 주소를 빠르게 확인하면 대략적인 위치를 파악할 수 있다는 점을 언급했다.

DJI의 대응

DJI는 Popular Science에 이 문제가 두 차례 업데이트를 통해 해결되었으며, 첫 번째 패치는 2월 8일에 배포되고 두 번째 업데이트는 2월 10일에 완료되었다고 밝혔다.