Испанский программист Сэмми Аздуфаль, пытаясь подключить к своему роботу-пылесосу игровой контроллер, неожиданно получил доступ к почти семи тысячам таких же устройств в 24 странах. Историю описало издание Popular Science.
Речь идет о модели DJI Romo - автономном роботе-пылесосе, который сошел с конвейера в Китае в прошлом году и постепенно появляется в продаже по всему миру. Устройство стоит около двух тысяч долларов, оснащено камерами, микрофонами и системой навигации и может выстраивать карту квартиры.
Аздуфаль не рядовой разработчик, он руководит отделом пропаганды цифровых технологий и искусственного интеллекта в компании Clinitex. Сэмми хотел создать свое приложение для удаленного управления пылесосом через геймпад PS5. Для этого он с помощью ИИ-ассистента проанализировал, как устройство взаимодействует с облачными серверами компании-производителя DJI, и попытался получить токен доступа - цифровой ключ, подтверждающий право владельца управлять техникой.
Однако вместо проверки одного устройства серверы по ошибке предоставили ему права администратора для тысяч других роботов.
Он смог видеть прямую трансляцию с камер пылесосов, получать доступ к аудио с их микрофонов, просматривать карты помещений. IP-адреса позволяли определить примерное местоположение домов.
Обнаружив проблему, мужчина честно поделился ей c компанией-производителем.
В DJI заявили, что выявили уязвимость в конце января и устранили ее с помощью двух автоматических обновлений, выпущенных в начале февраля.
Эта история вновь напомнила об опасности, которую могут представлять устройства «умного дома». Роботы-пылесосы, камеры наблюдения и дверные звонки с видеосвязью собирают данные в самых приватных частях жилищ. Чаще всего, информация хранится на облачных серверах, к которым есть удаленный доступ.
- История с роботом-пылесосом показательна, потому что высвечивает масштаб уязвимости глобальных систем. Один некорректно настроенный механизм авторизации - и пользователь фактически становится администратором целой армии пылесосов по всему миру, - отмечает в разговоре с «КП» специалист в области информационной безопасности Станислав Чепанин. - Производители бытовой техники ориентированы на скорость выпуска товаров и разнообразии функций, а не на построении надежной архитектуры безопасности. Многие руководствуются правилом: «Сначала удобство, затем защита». При этом устройства работают круглосуточно, часто имеют избыточные права доступа и сохраняют данные в облаке дольше, чем это действительно необходимо.
Камеры, датчики движения, микрофоны, умные замки, роботизированная техника собирают мегабайты сведений о каждом из нас.
- Доступ посторонних к этим данным - мощный инструмент давления на владельцев квартир и домов, их шантажа, ограблений. Спецслужбам, в том числе иностранным, интернет вещей тоже упрощает жизнь, - добавляет Чепанин.
В 2024 году неизвестные взломали пылесосы компании Ecovacs и запрограммировали их на трансляцию расистских оскорблений. Год назад были взломаны роботы-пылесосы бренда Dreame. Тогда хакеры получили доступ к видеокамерам.
Аналогичные истории случались с «умными звонками» Ring camera. Хакеру удалось взломать камеру, которая была установлена в комнате 8-летней американки в штате Теннеси. Мужчина троллил девочку, отпускал расистские оскорбления и включал музыку. К счастью, мать малышки быстро отключила гаджет.
Опасность могут представлять «умные» колонки, которые анализируют звуки вокруг пользователя, для составления портрета владельца и его интересов. Цель - формирование для конкретного человека таргетированной рекламы. Однако специалисты допускают, что хакеры также могут взломать умную колонку и использовать ее как «жучок».
Комсомолка на MAXималках - читайте наши новости раньше других в канале @truekpru