Уязвимость в системе безопасности, которая открыла несанкционированный доступ к тысячам роботов-пылесосов DJI Romo, была непреднамеренно раскрыта после того, как энтузиаст создал приложение для управления своим устройством с помощью контроллера PlayStation. По сообщению The Verge, эта проблема позволяла приложению получать точные планы этажей, доступ к видео- и аудиопотокам в реальном времени и даже удаленно управлять затронутыми устройствами.
Это было случайно обнаружено стратегом по ИИ Сэмми Аздуфалем, который использовал Claude Code для обратного инжиниринга протокола, применяемого DJI Romo для связи со своими серверами. Но вместо того, чтобы просто предоставить ему доступ к собственному устройству, система выдала ключи к примерно 6700 роботам-пылесосам, расположенным по всему миру. Аздуфаль заявил, что он не взламывал системы DJI — все, что он сделал, это получил личный токен *своего собственного* пылесоса Romo. «Я не нарушал никаких правил, не обходил защиту, не взламывал, не использовал брутфорс, ничего», — сказал он The Verge. Благодаря этому он смог получить доступ к активным серверам по всему миру, включая США, Европу и даже Китай.
К счастью, он не использовал эти знания для нарушения конфиденциальности других людей. Он связался с DJI по поводу проблемы, и компания в конечном итоге устранила ее с помощью нескольких обновлений, не требующих действий со стороны пользователя. Тем не менее, стратег по ИИ утверждает, что остается еще пара нерешенных вопросов, которые необходимо устранить. К ним относятся возможность потоковой передачи видео с DJI Romo без PIN-кода безопасности и еще одна нераскрытая проблема из-за ее серьезности. Что еще более важно, Аздуфаль указал, что корень проблемы заключается не в шифровании, используемом роботом-пылесосом при связи с сервером, а в том, что все данные хранятся в открытом виде и могут быть легко прочитаны любым, кто получит доступ к серверу.
Это не первый случай, когда робот-пылесос некорректно обрабатывает собранные данные. Буквально в прошлом году инженер обнаружил, что его умный пылесос iLife A11 постоянно отправляет журналы и телеметрию производителю. Когда он заблокировал передачу всей этой информации через свою сеть, производитель отправил «код убийства» для отключения устройства, по сути, удаленно превратив его в «кирпич». Проявив немного изобретательности и умения, он смог восстановить и использовать свое устройство полностью локально, доказав, что для работы робот-пылесос не обязан быть подключенным к облаку 24/7.
Многие пользователи приобретают и устанавливают умные IoT-устройства в своих домах из-за удобства, которое они предоставляют. Но подобные инциденты показывают, насколько они могут быть опасны, когда энтузиасты случайно получают доступ к этим системам. Это вызывает ряд тревожных сигналов, поскольку исследователи безопасности указывают, что если обычные люди могут случайно наткнуться на личные данные тысяч людей через эти гаджеты, то скоординированная атака может оказаться гораздо более разрушительной, чем ожидалось.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jowi Morales
