Вы когда-нибудь задумывались, что маленькая коробочка, которая каждое утро нарезает круги по вашей гостиной, видит больше, чем вам кажется? Не просто пыль под диваном, а планировку всей квартиры, ваше расписание, а в некоторых моделях — ещё и вас самих. В прямом эфире.
Звучит как сценарий для дешёвого триллера, правда? Однако осенью 2025 года такой триллер стал реальностью для десятков тысяч людей по всему миру. И началось всё с безобидного желания одного парня поиграть.
История, которую я сейчас расскажу, похожа на анекдот. «Хотел управлять пылесосом с геймпада от PS5, а случайно взломал целый флот умных гаджетов». Только вот анекдот этот — чистая правда, и случился он в 2026 году.
Парня зовут Сэмми Аздуфал. Обычный владелец робота-пылесоса DJI Romo. Ему, как и многим, захотелось добавить своей технике немного ручного управления — ну, чтобы гонять пылесос по квартире с джойстиком, как игрушечную машинку. Официально такой функции не было. Тогда Сэмми попросил помощи у ИИ-ассистента Claude Code — поручил нейросети проанализировать приложение DJI и понять, как пылесос общается с сервером.
Нейросеть справилась. И даже слишком хорошо, я бы сказал.
Сэмми быстро обнаружил, что его инструмент управления собственным гаджетом открыл ему дверь... ко всем пылесосам DJI в мире. Примерно к 6–7 тысячам устройств. Всё потому, что компания использовала протокол MQTT — распространённую штуку для IoT-связи — но аутентификация была настроена из рук вон плохо. Токены безопасности не привязывали к конкретным пылесосам. Стоило получить один ключ — и перед тобой данные всех пользователей.
Что именно увидел этот «случайный хакер»? Планы этажей чужих квартир. Сохранённые карты уборки. А в моделях с камерами — прямые видеотрансляции из спален и гостиных людей за тысячи километров. Представьте картину: вы спокойно пьёте чай на кухне, а какой-то парень с геймпадом смотрит на вас через глазок вашего же пылесоса.
Это не единичный случай. Это симптом большой болезни.
Эстонский департамент государственных информационных систем (RIA) обнаружил в своей стране более 3000 заражённых smart-устройств — от роботов-пылесосов до холодильников и телевизоров. А глобальная бот-сеть BADBOX 2.0, по данным Google, заразила уже более 10 миллионов устройств по всему миру. Вдумайтесь: десять миллионов.
Эксперты из Kaspersky GReAT в мае 2025 года нашли уязвимость в мобильном приложении Rubetek Home для систем «умного дома». В логах, которые приложение отправляло разработчику через Telegram-бота, могли оказаться: фотографии с камер и домофонов, списки устройств в локальной сети, IP-адреса, токены доступа к аккаунтам. Этого набора хватило бы, чтобы открыть чужие ворота, посмотреть, кто заходил в подъезд, или управлять домашней техникой удалённо. И всё это — через, казалось бы, безобидный лог.
Отдельного разговора заслуживают роботы ECOVACS. В мае 2025 года CISA (Агентство по кибербезопасности США) выпустила официальное предупреждение: в пылесосах ECOVACS нашли три уязвимости сразу. WPA2-PSK? Выводится из серийного номера. Шифрование AES? Тоже выводится из серийного номера. Обновления прошивки? Не проверяют целостность, можно подсунуть любую вредоносную.
Что всё это значит? А то, что ваш «умный» друг — это зачастую дверь с замком, который открывается любым ключом. Или вообще без ключа.
ИТ-эксперт Владимир Зыков в интервью RT перечислил реальные риски. При взломе робота-пылесоса злоумышленник получает доступ к карте вашей квартиры — по ней можно восстановить планировку, понять, где что лежит. Расписание уборки выдаёт ваше отсутствие: если пылесос всегда включается в 11 утра, а вас нет дома, это хороший сигнал для воришек. А если в пылесосе есть камера или микрофон (даже официально отключённые, но аппаратно присутствующие), их можно активировать удалённо.
Британская ассоциация Which провела эксперимент: создала фальшивый «умный дом» и посчитала атаки. В среднем — 14 попыток взлома в час. Каждый час. Беспроводную камеру с Amazon и принтер Epson удалось взломать полностью — с возможностью наблюдения и изменения настроек.
Эксперты предупреждают: любое устройство с выходом в сеть потенциально может стать точкой входа. Даже умная зубная щётка, представьте себе. Аферисты уже научились заражать такие гаджеты вредоносами для майнинга криптовалюты или включать их в ботнеты для DDoS-атак.
В РФ, как ни странно, есть и позитивные примеры. Российская компания Rubetek, обнаружив ту самую уязвимость в своём приложении (с Telegram-ботом), оперативно выпустила обновления для Android и iOS. В их пресс-службе заявили: «Мы вместе с Kaspersky проделали большую работу по устранению уязвимости». И пусть косяк был серьёзный, сам факт быстрой реакции и партнёрства с исследователями безопасности — это правильный тренд, что немаловажно.
Что делать?
Специалисты сходятся на простых правилах. Во-первых, сразу после покупки смените заводской пароль роутера и самого устройства — стандартные «admin/admin» хакеры проверяют в первую очередь. Во-вторых, отключайте камеры и микрофоны в настройках, если они вам не нужны. И в-третьих, регулярно обновляйте прошивки — производители хоть и медленно, но закрывают дыры.
И помните: ваш робот-пылесос не шпионит за вами по собственной воле. Его использует тот, кто нашёл лазейку там, где вы её не искали. А лазейки, как показывает практика, находит даже случайный парень с геймпадом и нейросетью. Будьте внимательнее. Ваша гостиная — не открытая книга. По крайней мере, не должна ею быть.