Желание управлять своим новым роботом-пылесосом DJI Romo с помощью геймпада от PlayStation 5 обернулось для разработчика Сэмми Аздоуфала неожиданным открытием. Созданное им приложение для дистанционного контроля, подключившись к серверам производителя, предоставило ему доступ не к одному, а примерно к 7000 устройствам по всему миру. Вместо забавного эксперимента с гаджетом он получил доступ к частной жизни тысяч людей.
Робот-пылесос DJI Romo использует те же две передовые технологии компании DJI, что и в области дронов: систему обнаружения препятствий и камеру.
Итак, у вас дома автономное устройство со встроенной камерой. Что же может пойти не так?
«Хакер» пояснил, что просто хотел сделать управление пылесосом более удобным и «веселым». Также он подчеркнул, что не ставил перед собой цели взломать все подобные устройства на планете.
Однако, когда его приложение получило доступ к глобальным серверам DJI, он получил отклик тысячи пылесосов, признав в нем своего «хозяина». Как выяснил разработчик, этот доступ был пугающе полным.
Он мог не только отдавать команды на движение, но и в реальном времени наблюдать за происходящим в домах с камер и даже слушать звук.
Более того, он видел, как устройства сканируют помещения и строят детальные двухмерные планы этажей, а по IP-адресам мог определить их приблизительное географическое положение.
Аздоуфал попытался найти устройство, которое недавно тестировал коллега Томас Риккер. Действительно, используя серийный номер, он получил точный план квартиры Риккера и доступ к прямой трансляции с камеры пылесоса.
«Я обнаружил, что мое устройство было лишь одним из множества подобных устройств», — констатирует Аздоуфал. Для проверки возможностей он даже провел эксперимент с пылесосом своего друга.
Как утверждает разработчик, он достиг такого уровня доступа, не нарушая правил, не взламывая защиту и не обходя системы безопасности. Взяв приватный токен со своего собственного устройства Romo, он получил от серверов DJI доступ ко всем данным.
Компания заявила, что уже устранила уязвимости. Однако сам факт возможности подобного доступа вызывает серьезное беспокойство защиты личной жизни у пользователей.
Учитывая, что ключевые технологии DJI используются в их дронах, поэтому проблемы безопасности их роботов-пылесосов заставляют сомневаться в подходе самой компании.
На данный момент уязвимости в системе DJI Romo все еще существуют. В DJI сообщили потребуется несколько недель для устранения. Аздоуфал, к счастью, не раскрывают все детали, пока проблемы не будут полностью решены.
Ранее дроны DJI попали под запрет в США. По мнению комиссии, преступники и «враждебные иностранные субъекты» могут использовать беспилотные летательные аппараты — дроны для создания серьезных угроз стране. В июле Трамп подписал указ о восстановлении суверенитета американского воздушного пространства.
