Кто-то получил удалённый доступ к камерам 7 000 роботов-пылесосов DJI
Как ранее сообщило издание The Verge, разработчик Сэмми Аздуфал создал приложение, позволяющее управлять Romo через геймпад PS5. Сам пылесос DJI выпустила в прошлом году, используя наработки из своих дронов: систему обхода препятствий с камерами и бинокулярный сенсор с «рыбьим глазом». Приложение Аздуфала подключалось к глобальным серверам DJI и неожиданно открыло ему гораздо больший доступ, чем предполагалось.
По словам разработчика, он мог удалённо просматривать видео с камер пылесосов и даже слушать происходящее вокруг них. Более того, по IP-адресу устройства удавалось определить примерное местоположение конкретного робота. В демонстрации для журналистов он подключился к пылесосу одного из обозревателей, нашёл его по серийному номеру, получил план квартиры и вывел изображение с камеры в реальном времени.
Звучит пугающе, но Аздуфал утверждает, что ничего не взламывал и не обходил защиту. Он просто использовал приватный токен своего собственного устройства, а серверы DJI почему-то предоставили ему доступ практически ко всему, включая даже предсерийные системы компании.
Журналисты заранее сообщили DJI о проблеме, и компания ответила, что уязвимости уже устранены. Однако демонстрация показала, что это было не совсем так. Исправление подобных проблем действительно может быть сложным, но сам факт их существования вызывает серьёзные вопросы.
К сожалению, это далеко не первый случай, когда «умная» техника для дома оказывается уязвимой. И, скорее всего, не последний. Как справедливо отмечает The Verge, люди, устанавливая камеру у себя дома, ожидают, что их данные будут надёжно защищены и во время передачи, и на сервере.
На данный момент некоторые уязвимости в DJI Romo всё ещё остаются. По словам компании, их планируют устранить в течение нескольких недель. Чтобы не усугублять ситуацию, журналисты и сам разработчик пока не раскрывают все детали обнаруженных проблем.
