Știri din categoria Securitate cibernetică

DJI Romo, vulnerabilitate majoră de securitate - un cercetător a accesat peste 7.000 de aspiratoare cu cameră video

15 februarie 2026, 13:04

Aspirator robot cu cameră video, expus unei breșe de securitate.

Un cercetător independent a descoperit o breșă gravă în sistemul de securitate al DJI Romo, aspiratorul robot al companiei chineze, care i-a permis să acceseze de la distanță aproximativ 7.000 de dispozitive din întreaga lume. Problema a inclus acces la fluxuri video live și la hărți detaliate ale locuințelor utilizatorilor, potrivit unei investigații publicate de The Verge.

Descoperirea îi aparține dezvoltatorului Sammy Azdoufal, din Barcelona, care încerca să își controleze propriul robot folosind un controller de PlayStation 5. În momentul în care aplicația sa s-a conectat la serverele DJI, nu doar aspiratorul personal a răspuns comenzilor, ci mii de alte unități. În mai puțin de zece minute, scannerul său a identificat dispozitive din mai multe țări și a colectat peste 100.000 de mesaje generate de acestea.

Harta globală cu dispozitive afectate de breșa de securitate DJI Romo.

Potrivit relatării, vulnerabilitatea permitea:

acces la camera video integrată a robotului
vizualizarea planurilor 2D ale locuinței
identificarea aproximativă a locației prin IP
controlul dispozitivului fără introducerea PIN-ului de securitate

Breșa ar fi avut legătură cu un control defectuos al permisiunilor în sistemul MQTT folosit pentru comunicarea dintre dispozitive și servere. Cercetătorul susține că nu a spart infrastructura DJI, ci a folosit acreditările propriului dispozitiv, care ofereau în mod eronat acces extins la alte conturi.

Reacția companiei a fost inițial contradictorie. Un purtător de cuvânt a declarat că problema fusese deja rezolvată, însă la scurt timp cercetătorul a demonstrat că vulnerabilitatea era încă activă, inclusiv pe un dispozitiv testat de jurnaliști. Ulterior, DJI a admis existența unei „probleme de validare a permisiunilor în backend” și a precizat că a aplicat patch-uri succesive pe 8 și 10 februarie.

Aspiratorul robot DJI Romo și aplicația mobilă asociată.

Incidentul vine într-un moment sensibil pentru companie. Dronele DJI au fost deja supuse unor restricții în SUA pe fondul îngrijorărilor privind securitatea datelor, iar acest nou caz amplifică dezbaterea despre modul în care dispozitivele IoT colectează și protejează informații sensibile. Modelul DJI Romo P, vândut în Europa la aproximativ 1.899 de euro, include cameră video și tehnologie de navigație derivată din cea folosită la drone, ceea ce face ca riscurile de acces neautorizat să fie cu atât mai sensibile din perspectiva vieții private.

Cercetătorul afirmă că ar mai exista cel puțin o vulnerabilitate importantă pe care nu a făcut-o publică, pentru a oferi companiei timp să o remedieze.

Tag-uri:acces neautorizat aspirator robot cu camera vulnerabilitate securitate sammy azdoufal bresa mqtt securitate iot dji romo

AutorSzilárd-Ervin Szőgyényi

Sursăxchg.ro

Urmărește-ne pe Google News

Recomandate

Articole pe același subiect

Securitate cibernetică12 feb. 2026

Apple remediază o vulnerabilitate zero-day exploatată activ - actualizări urgente pentru iPhone și iPad

Apple a remediat o vulnerabilitate zero-day exploatată în atacuri sofisticate cu spyware , lansând actualizări de securitate pentru iOS, iPadOS și celelalte sisteme ale sale, după ce compania a confirmat că problema a fost utilizată împotriva unor persoane țintite. Potrivit unei note oficiale publicate de Apple , breșa – identificată drept CVE-2026-20700 – afecta componenta dyld și putea permite executarea de cod arbitrar pe dispozitive vulnerabile. Vulnerabilitate critică în dyld și atacuri țintite Defectul viza dyld, editorul dinamic de legături al Apple, responsabil de încărcarea bibliotecilor și componentelor esențiale în iOS, iPadOS și macOS. Conform informării oficiale, „un atacator cu capacitate de scriere în memorie ar putea executa cod arbitrar”, iar compania a precizat că este la curent cu rapoarte privind exploatarea vulnerabilității „într-un atac extrem de sofisticat” care a vizat anumite persoane pe versiuni anterioare iOS 26. Descoperirea a fost raportată către Apple de Google Threat Analysis Group. Potrivit unei analize publicate de Security Affairs , vulnerabilitatea ar fi făcut parte dintr-un lanț de exploatare mai amplu, alături de două breșe WebKit remediate în decembrie 2025 (CVE-2025-14174 și CVE-2025-43529). Acest detaliu sugerează o campanie coordonată, cu mai multe puncte de acces tehnic. Conform unei evaluări realizate de Forbes , combinarea acestor vulnerabilități ar fi putut permite atacuri de tip „zero-click”, adică infectarea dispozitivului fără nicio acțiune din partea utilizatorului. Specialiști citați în analiză avertizează că exploatarea dyld, împreună cu breșele WebKit, putea conduce la compromiterea completă a sistemului. Actualizări extinse în iOS 26.3 și iPadOS 26.3 Apple a anunțat că problema de corupere a memoriei a fost remediată prin „îmbunătățirea gestionării stării”, potrivit documentației tehnice publicate pe site-ul oficial. Actualizările sunt disponibile pentru: iPhone 11 și modelele ulterioare iPad Pro generația a 3-a și mai noi iPad Air generația a 3-a și mai noi iPad generația a 8-a și mai noi iPad mini generația a 5-a și mai noi Pe lângă vulnerabilitatea zero-day, iOS 26.3 și iPadOS 26.3 includ remedieri pentru peste 35 de probleme de securitate suplimentare. Conform Cybersecurity News , acestea vizează componente critice precum kernelul, WebKit și CoreServices, iar unele ar fi putut permite escaladarea privilegiilor până la nivel de administrator sau ieșirea aplicațiilor din sandbox-ul de securitate. Primul zero-day activ din 2026 Aceasta este prima vulnerabilitate zero-day exploatată activ și remediată de Apple în 2026, după ce în 2025 compania a corectat șapte astfel de breșe. Experții în securitate recomandă actualizarea imediată a dispozitivelor, întrucât vulnerabilitățile dezvăluite public devin adesea ținta unor tentative mai largi de exploatare după publicarea detaliilor tehnice. Incidentul evidențiază intensificarea atacurilor direcționate și complexitatea tot mai mare a lanțurilor de exploatare, în special în contextul utilizării comerciale a instrumentelor de supraveghere digitală. Pentru utilizatori, mesajul rămâne unul clar: instalarea rapidă a actualizărilor de securitate este esențială pentru protecția datelor și a dispozitivelor personale. [...]

Controlul rezultatelor personale în căutările Google pentru protecția datelor.

Securitate cibernetică12 feb. 2026

Google extinde „Results About You”; Monitorizare pentru acte de identitate și imagini sensibile

Google Search extinde opțiunile de eliminare a fotografiilor cu date personale din rezultate , potrivit Google , care descrie actualizări ale instrumentelor de protecție a confidențialității în căutare. Miza este reducerea expunerii neautorizate a informațiilor sensibile (de la acte de identitate la imagini intime), într-un context în care astfel de materiale se pot răspândi rapid și pot fi replicate inclusiv cu ajutorul inteligenței artificiale. Schimbarea vizează în primul rând protecția datelor personale în Google Search: utilizatorii pot solicita eliminarea din rezultate a unor imagini care îi privesc și care conțin nuditate, conținut sexual sau documente precum pașapoarte și cărți de identitate. Instrumentele sunt prezentate ca o aliniere mai strictă la normele europene, cu accent pe limitarea distribuirii fotografiilor intime, inclusiv a celor „fictive”, generate cu inteligență artificială. „Google nu ȘTERGE informaţiile de pe site-ul original, ci nu îl mai face vizibil în Search.” Din descrierea funcționalității reiese că solicitarea se face direct din interfața rezultatelor: utilizatorul apasă meniul cu trei puncte de lângă imagine și alege opțiunea „Elimină rezultatul”, apoi selectează motivul (de exemplu, dacă este o imagine cu caracter sexual). Conținutul intră ulterior într-un proces de moderare, iar cererea poate include mai multe imagini într-o singură solicitare. În paralel, instrumentul „Results About you” este poziționat ca un mecanism de monitorizare a apariției datelor personale în web și în rezultatele Google Search. Concret, utilizatorul introduce datele pe care vrea să le urmărească, iar Google începe scanarea după astfel de apariții; compania afirmă că peste 10 milioane de oameni au folosit deja funcția pentru a verifica expunerea adresei și a numărului de telefon, iar acum sunt incluse și fotografii cu pașapoarte și buletine. Pe scurt, actualizarea aduce trei elemente relevante pentru protecția datelor personale în Search: posibilitatea de a cere eliminarea din rezultate a imaginilor cu nuditate/conținut sexual, inclusiv a celor generate cu AI; includerea în solicitări a fotografiilor cu documente de identitate (pașapoarte, cărți de identitate); extinderea „Results About you” pentru monitorizarea și gestionarea apariției datelor personale, cu precizarea că eliminarea vizează vizibilitatea în Search, nu ștergerea de la sursă. [...]

Soldat în zăpadă, manipulând un terminal Starlink dezactivat.

Securitate cibernetică10 feb. 2026

Aproximativ 90% din unitățile ruse fără conexiune Starlink - consecințe pentru comunicarea pe front

Ucraina avertizează că ajutorul dat Rusiei pentru Starlink poate fi pedepsit cu închisoare pe viață , potrivit Adevărul , care citează declarații ale unor oficiali ucraineni despre o schemă de înregistrare ilegală a terminalelor de internet prin satelit. Autoritățile de la Kiev susțin că forțele ruse încearcă să recruteze cetățeni ucraineni pentru a înregistra ilegal terminale Starlink prin centrele de servicii guvernamentale, în schimbul unor sume de până la 10.000 de grivne (aproximativ 240 de dolari). Informația îi este atribuită lui Serhi Beskrestnov, consilier pe probleme de tehnologie al ministrului ucrainean al apărării. Miza este una direct militară: accesul la internet prin satelit a devenit esențial pentru operațiunile ruse, inclusiv pentru transmiterea în timp real a imaginilor de la drone și pentru comunicarea dintre unitățile de asalt și centrele de comandă, notează euromaidanpress.com, citat de Adevărul. În acest context, Kievul pune accent pe descurajare, prin pedepse severe pentru orice formă de colaborare care ar putea susține capacitatea de luptă a Rusiei . Beskrestnov a avertizat că statul ucrainean poate verifica datele terminalelor capturate de la inamic și le poate corela cu informațiile din centrele administrative. El a spus că „cei care sunt tentați de bani ușori vor primi 15 ani sau închisoare pe viață dacă, prin acțiunile lor, terminalele Starlink contribuie la pierderi de vieți omenești”, indicând că sancțiunile pot ajunge la maximul prevăzut atunci când consecințele sunt letale. Contextul imediat al acestor avertismente este blocarea unei părți dintre terminalele folosite de trupele ruse, după ce SpaceX ar fi coordonat măsura cu oficiali ucraineni la începutul lunii februarie. Ministrul ucrainean al transformării digitale, Mykhailo Fedorov, a confirmat că doar terminalele incluse pe o „listă albă” mai funcționează, în timp ce cele aflate în posesia Rusiei au fost dezactivate. Efectele operaționale sunt recunoscute și în spațiul pro-rus, unde bloggeri militari au relatat dificultăți majore de comunicare pe mai multe sectoare ale frontului și au cerut donații de echipamente radio și satelit. Unii au descris situația drept „extrem de nefericită”, subliniind că Rusia nu are un sistem echivalent care să înlocui complet Starlink, iar multe unități ar fi ajuns să se bazeze pe comunicații terestre. În paralel, Rusia ar încerca să refacă de urgență infrastructura de comunicații, inclusiv prin livrarea de terminale de internet prin satelit pe linia frontului, pe fondul estimării că „aproape 90% dintre unitățile ruse ar fi rămas fără conectivitate” după restricții, conform lui Beskrestnov. El a mai afirmat că Moscova se bazează acum pe alternative precum sistemele bazate pe sateliții Yamal și Express, ale căror antene sunt mari și mai ușor de identificat pe câmpul de luptă, în timp ce analiștii Institutului pentru Studiul Războiului (ISW) apreciază că, fără soluții alternative, Rusia va avea dificultăți în menținerea operațiunilor la nivelurile anterioare. [...]

O mamă și fiica ei folosesc un laptop pentru a explora internetul în siguranță.

Securitate cibernetică10 feb. 2026

Google lansează un plan pentru un internet mai sigur – cum vrea să protejeze copiii și adolescenții online

Cu ocazia Safer Internet Day 2026, Google lansează un pachet de inițiative pentru a sprijini educația digitală a copiilor și adolescenților și pentru a reduce riscurile asociate cu folosirea zilnică a internetului. Aflăm prin intermediul Google că inițiativa globală include o campanie de conștientizare structurată pe cinci direcții clare, ce țin cont de realitățile actuale: dependența de ecran, ascensiunea AI-ului, siguranța pe platforme video, gândirea critică și autonomia digitală. 1. Controlul timpului petrecut online – prin Family Link și YouTube Google recomandă părinților să utilizeze aplicația Family Link pentru a seta limite clare pentru utilizarea dispozitivelor, atât în timpul orelor de studiu, cât și în perioadele de relaxare. Funcția „Timp pentru școală” permite blocarea aplicațiilor sau funcțiilor non-educaționale în timpul învățării. În plus, YouTube folosește inteligența artificială pentru a estima vârsta reală a utilizatorilor și pentru a aplica automat filtre de siguranță, precum dezactivarea reclamelor personalizate și restricționarea conținutului pentru adulți. 2. Încurajarea gândirii autonome – învățarea ghidată prin Gemini Într-un mediu digital în care răspunsurile instant pot inhiba gândirea critică, Google promovează învățarea ghidată în cadrul modelului AI Gemini. În loc să livreze pur și simplu soluții, sistemul explică pas cu pas cum poate fi rezolvată o problemă, cultivând astfel înțelegerea profundă și autonomia în procesul de învățare. 3. Alfabetizare digitală și verificarea informației – metode și instrumente Pentru a combate dezinformarea, Google încurajează utilizarea metodei „SIFT” – Stop, Investigate, Find, Trace – ca strategie de evaluare a informațiilor. În paralel, utilizatorii sunt invitați să folosească instrumente precum „Despre această imagine” sau SynthID , care pot identifica dacă o imagine, un sunet sau un videoclip au fost generate de AI. Aceste soluții sporesc capacitatea tinerilor de a naviga în siguranță într-un internet tot mai dominat de conținut sintetic. 4. Monitorizarea responsabilă a YouTube – conturi supravegheate și opțiuni pentru părinți Pe lângă aplicația YouTube Kids , destinată copiilor sub 12 ani, Google oferă și conturi supravegheate pentru adolescenți, unde părinții pot stabili tipul de conținut vizionat, pot bloca canale, impune limite de timp sau chiar dezactiva complet YouTube. Noua funcție de supervizare mutuală permite conectarea conturilor părinților și adolescenților, oferind o transparență echilibrată între control și autonomie. 5. Educație prin empatie și responsabilitate – programul Eroii Internetului Google relansează și promovează Eroii Internetului , un set de materiale educaționale adresate copiilor, care abordează teme precum respectul în mediul digital, curajul de a lua atitudine, prudența în interacțiuni și empatia online . Prin acest program, compania încearcă să formeze o cultură digitală sănătoasă și responsabilă, atât acasă, cât și în școli. În ansamblu, campania Google aduce un cadru coerent și modern pentru a răspunde provocărilor digitale ale generației tinere, punând accent pe echilibrul dintre libertate și siguranță, autonomie și supraveghere, viteză și gândire critică. [...]

Securitate cibernetică09 feb. 2026

Agenții AI, între hype și haos – Moltbook falsificat, OpenClaw vulnerabil la atacuri grave

Viralul „AI” Moltbook a fost un miraj: MIT confirmă că postările au fost scrise de oameni, în timp ce OpenClaw, un asistent AI open-source, devine un pericol major de securitate, atrăgând milioane de utilizatori și tot atâtea vulnerabilități , arată o investigație recentă citată de mai multe surse, printre care și Cisco . În doar câteva zile de la lansarea sa din ianuarie, rețeaua Moltbook – promovată ca o platformă de socializare între „agenți AI” – a generat un val de entuziasm online , după ce unele postări păreau să sugereze dialoguri între conștiințe artificiale. Însă, conform MIT, aceste mesaje erau scrise de utilizatori umani care se dădeau drept AI, într-o mișcare care a alimentat artificial hype-ul. De fapt, în spatele celor „1,7 milioane de agenți AI” înregistrați pe platformă se aflau doar aproximativ 17.000 de utilizatori umani. În paralel, OpenClaw , un proiect open-source creat de dezvoltatorul austriac Peter Steinberger, a devenit unul dintre cele mai rapide proiecte în creștere pe GitHu b, cu peste 161.000 de stele. Sistemul permite automatizarea de sarcini pe e-mail, mesagerie, navigare web sau calendar, dar, avertizează experții , poate rula comenzi shell, accesa fișiere și executa scripturi fără autentificare adecvată. Firme de securitate cibernetică precum HiddenLayer și Cisco semnalează vulnerabilități grave: atacuri de tip prompt injection , furt de date și credențiale , instalare de backdoor-uri persistente și chiar compromiterea completă a sistemului . Unele instanțe ale interfeței de control au fost găsite „deschise complet”, fără niciun sistem de protecție, expunând API-uri sensibile și istoricul conversațiilor. De asemenea, un incident grav a vizat Moltbook , care a suferit o breșă de securitate din cauza unei configurări greșite în baza de date Supabase. Au fost expuse 1,5 milioane de tokenuri API, peste 35.000 de adrese de e-mail și mesaje private – toate ușor accesibile fără tehnici avansate de hacking. În contextul acestei crize de încredere, experții trag un semnal de alarmă: entuziasmul pentru agenții AI personali depășește cu mult nivelul actual de securizare a acestora. „Folosirea acestor instrumente fără protecții adecvate poate echivala cu lăsarea ușilor casei larg deschise în plină noapte”, avertizează cercetătorul Jamieson O'Reilly . [...]

Telefoanele Android vechi sunt vulnerabile la atacuri cibernetice.

Securitate cibernetică07 feb. 2026

Google avertizează că 40% dintre telefoanele Android rămân fără patch-uri - circa 1 miliard de utilizatori expuși

Aproape 42% dintre telefoanele Android nu mai primesc actualizări de securitate , ceea ce le lasă expuse la atacuri cu programe malițioase, potrivit PhoneArena , care citează informații atribuite Google. Publicația susține că situația ar afecta circa 1 miliard de utilizatori la nivel global, în contextul în care o parte semnificativă a ecosistemului rulează versiuni vechi ale sistemului de operare. Miza este una strict de securitate cibernetică: fără „patch-uri” (corecții) lunare, vulnerabilitățile descoperite ulterior rămân neacoperite, iar atacatorii pot folosi programe de tip malware (software malițios) sau spyware (software de spionaj) pentru a compromite dispozitivul. Conform articolului, Google nu mai emite patch-uri de securitate pentru telefoanele cu Android 12 sau mai vechi, ceea ce înseamnă că multe modele lansate în 2021 și anterior nu mai sunt protejate împotriva celor mai noi tehnici de atac. „Aceste dispozitive beneficiază în continuare de cele mai recente semnături de securitate Play Protect și de scanarea în timp real a programelor malițioase.” În același material, Forbes este citat cu estimarea că aproximativ 40% dintre telefoanele Android sunt vulnerabile la noi valuri de malware și spyware, iar PhoneArena indică, mai precis, 42,1% dintre dispozitive ca fiind în afara ferestrei de actualizări de securitate. Cauza invocată este fragmentarea platformei: Android este dezvoltat de Google, dar majoritatea telefoanelor sunt produse de numeroși fabricanți, ceea ce face dificilă o actualizare coordonată și rapidă la scară largă. Consecința practică, subliniată de articol, este că utilizatorii cu telefoane care nu pot trece de Android 12 ar trebui să ia în calcul înlocuirea dispozitivului cu unul capabil să ruleze Android 13 sau mai nou, pentru a reintra în ciclul de actualizări lunare. Chiar dacă Google Play Protect continuă să funcționeze și pe versiuni mai vechi (până la Android 7, conform textului), acesta nu înlocuiește patch-urile de sistem, iar riscul rămâne relevant mai ales pentru date sensibile, inclusiv credențiale de autentificare în aplicații și servicii financiare. [...]