Найти в Дзене
Cloud4Y — облачный провайдер
1296 подписчиков

История одного бага: как программист случайно возглавил армию из 7000 роботов-пылесосов DJI

17
2 мин
Программист Сэмми Аздуфал купил себе робот-пылесос DJI Romo и решил написать собственное приложение, чтобы управлять устройством с помощью геймпада PS5. Он воспользовался ИИ-помощником для обратной разработки протокола связи между устройством и облаком производителя. Но вскоре Сэмми обнаружил странную особенность: серверы DJI, которые должны были удостовериться, что программист владеет только своим роботом, дали ему полномочия «владельца» для сотен и тысяч других устройств по всему миру. В итоге приложение позволило: Иными словами, он не только мог управлять своей машиной — у него практически был доступ к целой армии домашних роботов. Проблема оказалась не в профессиональном взломе или в использовании сложных хакерских техник. Сэмми просто обращался к серверам DJI через собственное приложение и получал от них токен (ключ доступа), который подтверждал право владения не только его устройством, но и работал для тысячи других агрегатов той же серии. Проверка прав доступа была реализована н
Оглавление

Программист Сэмми Аздуфал купил себе робот-пылесос DJI Romo и решил написать собственное приложение, чтобы управлять устройством с помощью геймпада PS5. Он воспользовался ИИ-помощником для обратной разработки протокола связи между устройством и облаком производителя.

Но вскоре Сэмми обнаружил странную особенность: серверы DJI, которые должны были удостовериться, что программист владеет только своим роботом, дали ему полномочия «владельца» для сотен и тысяч других устройств по всему миру.

В итоге приложение позволило:

  • просматривать живые видеопотоки с камер десятков тысяч роботов;
  • включать микрофоны на этих устройствах;
  • видеть 2D-планы комнат, которые пылесосы составляли по своим сенсорным данным;
  • определять по IP-адресам примерное местоположение каждого робота.

Иными словами, он не только мог управлять своей машиной — у него практически был доступ к целой армии домашних роботов.

-2

В чём причина

Проблема оказалась не в профессиональном взломе или в использовании сложных хакерских техник. Сэмми просто обращался к серверам DJI через собственное приложение и получал от них токен (ключ доступа), который подтверждал право владения не только его устройством, но и работал для тысячи других агрегатов той же серии.

Проверка прав доступа была реализована некорректно: сервер связывал токен не с конкретным серийным номером пылесоса, а с целым классом устройств. Поэтому, получив доступ к одному роботу, приложение автоматически получало права на все пылесосы этой модели.

Реакция производителя

Компания DJI заявила, что проблема была выявлена в январе 2026 года, после чего были выпущены два исправления безопасности — первое 8 февраля, второе 10 февраля; обновления были установлены автоматически и не требовали действий со стороны пользователя.

Представитель DJI описал уязвимость как ошибку в проверке разрешений на стороне сервера, затрагивающую канал связи между устройством и облаком.

The DJI Romo.
The DJI Romo.

Почему это важно

Этот случай — не просто курьёзный баг. Он подчёркивает более широкую проблему:

  • умные устройства, живущие в облаке, нередко имеют слабую защиту и могут раскрывать данные пользователей;
  • камеры и микрофоны в автономных гаджетах — это не только удобство, но и возможная дыра в приватности;
  • механизмы аутентификации и доступа должны быть строго привязаны к конкретному устройству.

Эксперты отмечают: когда в доме появляется всё больше подобных гаджетов, риски киберугроз растут. Даже если производитель быстро выпускает патчи, подобные случаи могут серьёзно подорвать доверие к технологиям, призванным облегчить жизнь.

Робот пылесос
423,4 тыс интересуются