며칠 전 DIY 애호가가 PS5 게임 컨트롤러로 DJI Romo 청소 로봇을 제어하려고 시도했을 때 실수로 심각한 보안 취약점이 발생했습니다. 결과적으로 전 세계 약 6,700대의 이러한 유형의 로봇이 무단 접근의 대상이 되어 실시간 카메라 영상을 보고, 가정의 2D 평면도를 얻고, 심지어 장비 위치를 찾을 수도 있었습니다.
The Verge가 이 사건을 폭로한 후 DJI는 공식적으로 취약점 수정을 완료했다고 밝혔습니다.
이 취약점은 Sammy Azdoufal에 의해 발견되었습니다. 그는 원래 의도는 PS5 컨트롤러를 사용하여 새로 인수한 DJI Romo를 제어하는 것뿐이었기 때문에 Claude Code 소프트웨어를 사용하여 로봇과 DJI 서버 간의 통신 프로토콜을 리버스 엔지니어링하고 직접 만든 원격 제어 애플리케이션을 만들었다고 언론에 말했습니다.
놀랍게도 서버에 접속한 이후에는 앱의 권한이 통제 불능 상태였습니다. 그는 자신의 디바이스에서 프라이빗 토큰만 추출했고, 전 세계 약 7,000개 로모 유닛으로부터 응답을 받았다.
The Verge의 한 기자가 취약점 시연을 실시간으로 목격했습니다. Azdufar의 컴퓨터는 9분 만에 24개국에서 6,700개의 DJI 장치를 기록했으며 장치 일련번호, 클린룸, 본 장면, 주행 거리, 충전 시간, 직면한 장애물 등을 다루는 100,000개 이상의 장치 메시지를 수집했습니다.
토마스의 생활 공간 지도 2개. 상단은 DJI 서버에서 얻은 인증되지 않은 지도입니다. 하단은 집주인이 휴대전화로 보는 지도입니다.
동료 Thomas Ricker가 제공한 14자리 기기 일련번호만으로 거실 청소 로봇의 상태와 80% 배터리 잔량을 정확하게 확인할 수 있고, 동료 집의 정확한 평면도도 얻을 수 있습니다.
또한 그는 로봇의 보안 PIN을 우회하여 실시간 영상을 볼 수 있었고 프랑스 IT 컨설팅 회사의 CTO인 Gonzague Dambricourt와 읽기 전용 버전의 애플리케이션을 공유할 수도 있었습니다. Gonzague Dambricourt는 장치를 페어링하지 않고도 Romo의 카메라 영상을 원격으로 볼 수 있었습니다.
Azdufar는 DJI 서버에 침입한 것이 아니라고 강조했습니다. "나는 어떤 규칙도 위반하지 않았고, 시스템을 크랙하거나 무차별 대입한 적도 없습니다." 단지 자신의 기기 접근 권한을 확인하는 열쇠가 될 자신의 기기에서 추출한 프라이빗 토큰이 DJI 서버에서 일반 권한으로 오인되어 전 세계 수천 대의 기기에서 데이터가 유출됐을 뿐입니다.
또한 도구를 닫을 때마다 획득한 데이터를 모두 삭제하며, 허점을 악용해 타인의 사생활을 침해하지 않았다고 밝혔습니다.