DJI выплатит 30 000 долларов мужчине, который обнаружил критическую уязвимость в облачном бэкенде компании, которая, среди прочего, предоставила ему доступ к парку из примерно 7000 роботов-пылесосов и позволила заглянуть в чужие дома, сообщает The Verge. По имеющимся данным, компания отправила Сэмми Аздуфалю, инженеру-программисту, который хотел управлять своим роботом-пылесосом DJI Romo с помощью контроллера PS5, электронное письмо с уведомлением о вознаграждении, но не уточнила причин. DJI настаивает, что уже начала устранять ряд уязвимостей в своих серверных системах до того, как Аздуфаль продемонстрировал масштаб обнаруженного им доступа, однако вопросы о вознаграждении и исправлении остаются. Согласно электронному письму, которым он поделился с The Verge, DJI согласилась выплатить ему 30 000 долларов за одно из своих открытий, хотя компания не уточнила, какое именно открытие дает право на вознаграждение. DJI подтвердила, что выплатила компенсацию неназванному исследователю, по данным The Verge. Тем не менее, прошлый спор компании с исследователем Кевином Фистерре в 2017 году оставляет неясным, будет ли Аздуфаль вознагражден вообще и как быстро будут устранены бреши в бэкенде DJI. Все началось ранее в этом году, когда Сэмми Аздуфаль захотел управлять своим роботом-пылесосом с помощью чего-то более удобного, чем экран смартфона. Чтобы управлять своим DJI Romo с помощью геймпада PS5, Аздуфалю пришлось разработать собственное управляющее приложение, которое использовало его security token для подтверждения пылесосу, что он является владельцем устройства. Чтобы извлечь этот токен, ему нужно было работать с облачными серверами DJI для обратного инжиниринга процесса авторизации, что он успешно сделал с помощью инструмента для кодирования на базе ИИ. Как оказалось, вместо проверки одного робота бэкенд DJI предоставил широкие права доступа примерно к 7000 роботов-пылесосов, находящихся в 24 странах, а также к их датчикам и данным, хранящимся в облаке. DJI Romo — это усовершенствованный робот-пылесос, оснащенный не только типичным набором датчиков любого автоматического пылесоса, но и камерой и микрофоном. В результате сбоя авторизации Аздуфаль получил доступ к 7000 потоковым видеоканалам с аудио и даже смог составить 2D-планы домов, где работали другие DJI Romo. Поскольку бэкенд DJI оказался достаточно щедрым, он также предоставил программному эксперту IP-адреса этих домов, что позволило ему угадать их географическое положение. Аздуфаль настаивает, что ничего не «взламывал», а просто столкнулся с неисправной серверной службой, которая не смогла должным образом ограничить доступ к устройствам. К чести Сэмми Аздуфаля, он решил раскрыть информацию, а не злоупотреблять ею. Аздуфаль уведомил The Verge, который связался с DJI, и компания устранила проблему к середине февраля. Затем DJI сообщила Popular Science, что она сама обнаружила уязвимость в ходе внутреннего аудита (таким образом, Сэмми Аздуфаль не получил признания) в конце января и быстро ее исправила. Однако, согласно последнему материалу The Verge, компания теперь также признает двух независимых исследователей в выявлении той же проблемы, но не дает подробностей. В любом случае, по сообщениям СМИ, первый патч был развернут автоматически 8 февраля, за ним последовало второе обновление 10 февраля, что предшествует первоначальной статье The Verge от 14 февраля, но явно следует за открытием Сэмми Аздуфаля, предположительно сделанным до 8 февраля. DJI также заявила, что никаких действий от пользователей не требовалось, и добавила, что дополнительные меры безопасности находятся в разработке, не раскрывая никаких подробностей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anton Shilov
