Самми Аздуфал не собирался взламывать каждый робот-пылесос в мире. Он просто хотел управлять своим новым роботом-пылесосом DJI Romo с помощью геймпада от PS5, чтобы попробовать что-то интересное. Но когда его самодельное приложение начало общаться с серверами DJI, ему ответили не один, а около 7 000 таких устройств по всему миру.
Аздуфал мог удалённо управлять этими пылесосами, просматривать их видеокамеры в реальном времени, наблюдая за уборкой помещений и строя полные 2D-карты квартир. Он использовал IP-адреса роботов для определения их примерного местоположения. Оказалось, что его устройство было лишь каплей в океане устройств, доступных таким образом.
Во время демонстрации Аздуфал получил информацию с тысяч роботов, которые каждые несколько секунд отправляли данные: их серийные номера, где именно они убирают, сколько заряда у батареи, где находятся и с какими препятствиями сталкиваются. Спустя несколько минут на карте мира появился список из 6 700 устройств в 24 странах, плюс ещё около 3 000 зарядных станций DJI.
Это всё было возможно без взлома серверов: Аздуфал получил свой личный токен доступа от собственного устройства, и сервера предоставляли ему данные множества других устройств. Он также рассказал, что мог просматривать камеры своего робота, обходя PIN-код безопасности.
Компания DJI уже ограничила подобный доступ после уведомления о случившемся, и к утру следующего дня уязвимость была закрыта — сканер Аздуфала больше не мог получить данные ни об одном устройстве.
Тем не менее, этот случай вызывает серьёзные вопросы о безопасности и защите данных у DJI и других производителей умных домашних устройств. Например, стоит ли вообще оснащать пылесос микрофоном и видеокамерой, если такой доступ возможно получить извне? И если один исследователь смог получить такой уровень контроля, насколько хорошо защищены устройства от действительных злоумышленников?
Ранее другие бренды тоже сталкивались с проблемами безопасности: роботы Ecovacs в 2024 году подверглись атакам, которые заставляли устройства гоняться за животными и произносить оскорбления, а у некоторых моделей были обнаружены уязвимости, позволяющие просматривать видео и похищать фотографии.
В официальном заявлении DJI подтверждает, что в конце января была выявлена уязвимость с недостаточной проверкой прав доступа на уровне сервера, которая теоретически позволяла несанкционированный просмотр видео. Две обновления в феврале устранили проблему. Компания утверждает, что передача данных всегда шифровалась и что происшествий с злоумышленниками практически не было.
Тем не менее, эксперты отмечают, что шифрование обеспечивает лишь защиту канала передачи, а не ограничение доступа между клиентами на сервере, что оставляет риски. Аздуфал также отмечает, что у DJI остались другие уязвимости, которые еще предстоит исправить.
Этот инцидент подчеркивает необходимость улучшения мер безопасности в устройствах интернета вещей, особенно в тех, которые способны записывать и передавать информацию из личного пространства пользователей.
