Исследовател получил управление над 7000 чужих роботов-пылесосов
Тестируя джойстик для своего пылесоса, программист обнаружил критическую уязвимость в DJI Romo
Исследователь случайно получил управление над 7000 чужих роботов-пылесосов
Когда исследователь в области безопасности Сэмми Аздуфаль пытался собрать самодельный джойстик-контроллер для своего робота-пылесоса, он случайно наткнулся на нечто куда более серьёзное: оказалось, получить доступ к небольшой армии чужих домашних роботов-пылесосов — элементарно просто. Звучит глупо. Почти анекдотично. Материал для раздела «странные новости» на агрегаторах. Но на самом деле это — зияющая дыра в системе безопасности.
Что за устройство?
В центре истории — DJI Romo, автономный пылесос стоимостью $2000, состоящий из двух частей: привычного круглого робота-пылесоса и довольно громоздкой докстанции, внешне напоминающей бесцветный iMac G3. Как и большинство высококлассных умных устройств, он использует камеры, сенсоры и удалённые серверы для картографирования помещений, обхода препятствий и распознавания типов комнат. Часть этих данных хранится в облаке.
Как это произошло?
В разговоре с изданием The Verge Аздуфаль рассказал: во время экспериментов с устройством он обнаружил, что серверы DJI вместо проверки единственного токена авторизации, привязанного к его собственному пылесосу, фактически распознали его как владельца множества устройств одновременно. Это открыло потенциальный доступ к прямым трансляциям с камер, микрофонам, двумерным планам квартир и приблизительному местонахождению устройств по IP-адресам. Исследователь подчёркивает: он ничего не «взламывал» — система сама вручила ему ключи, будто он был законным владельцем.
Реакция DJI и более широкий контекст
Получив уведомление, DJI сообщила, что устранила уязвимость в начале февраля посредством автоматических обновлений — действий от пользователей не требуется. Компания также пообещала дополнительные улучшения в сфере безопасности, не уточнив деталей. Всё это происходит на фоне нарастающих споров вокруг Ring, Google Nest и камер Flock Security — споров о том, кто на самом деле контролирует данные, поступающие с устройств в наших домах. По мере того как Tesla и другие компании наращивают производство гуманоидных роботов для бытовых задач, вопросы безопасности будут становиться всё острее. Удобство умного дома сопряжено с неудобной правдой, которую большинство предпочитает игнорировать: каждая камера и каждый микрофон в вашем доме — это потенциальный инструмент слежки, который в чужих руках моментально превращается в золотую жилу.
Умный дом удобен ровно до тех пор, пока вы единственный, кто им управляет. Проверьте, так ли это на самом деле