Эксперимент с управлением домашним роботом-пылесосом неожиданно открыл доступ к тысячам устройств по всему миру и их данным. Инцидент стал наглядным примером того, как ошибки в архитектуре IoT-сервисов могут превратить бытовую технику в инструмент слежки.
Попытка настроить управление роботом-пылесосом DJI Romo через геймпад выявила серьёзную уязвимость. Её обнаружил AI-стратег Sammy Azdoufal: с помощью реверс-инжиниринга он изучил обмен данными устройства с серверами DJI и в ходе эксперимента получил доступ не только к своему роботу, но и к тысячам таких же устройств по всему миру.
Выяснилось, что серверы производителя принимали токен подтверждения владельца и распространяли его на другие устройства, фактически предоставляя доступ к целой сети роботов. Через эту брешь можно было просматривать карту квартиры, получать телеметрию, а также видеть видеопоток и слышать звук с устройств, оснащённых камерами и микрофонами.
Сам разработчик не использовал полученный доступ во вред и сообщил о проблеме компании. Производитель подтвердил наличие ошибки и заявил, что закрыл её на стороне сервера с помощью обновлений. При этом исследователь отметил, что не все слабые места устранены полностью, а некоторые функции, связанные с видеопотоком, по-прежнему требуют дополнительной защиты.
Ситуация подчёркивает системную проблему индустрии «умного дома». Подобные устройства собирают данные о помещениях, привычках пользователей и их распорядке дня, а затем передают их в облако. Если защита реализована недостаточно тщательно, даже непреднамеренные действия могут привести к массовой утечке информации.
Эксперты по безопасности давно предупреждают, что IoT-устройства остаются одной из самых слабых точек цифровой инфраструктуры дома. Инцидент с роботами DJI стал ещё одним сигналом: удобство автоматизации не должно идти в ущерб базовым принципам защиты данных.
Читайте нас в Telegram.