Нещодавній інцидент у сфері кібербезпеки виявив значну вразливість у лінійці роботів-пилососів DJI Romo, що призвело до випадкового несанкціонованого доступу до конфіденційних даних користувачів. Ця проблема проявилася, коли один ентузіаст, модифікуючи власний пристрій для керування за допомогою контролера PlayStation, несподівано отримав контроль над понад 6700 аналогічними роботами-пилососами по всьому світу. Подібна ситуація наголошує на критичній важливості надійних протоколів безпеки в інтелектуальних домашніх пристроях. Вона викликає серйозні питання щодо приватності та захисту персональної інформації в епоху повсюдної інтеграції Інтернету речей у повсякденне життя.
Це відкриття було зроблено стратегістом зі штучного інтелекту Семмі Аздуфалом, який використав інструмент Claude Code для реверс-інжинірингу протоколу зв’язку, що застосовується пилососом DJI Romo для взаємодії зі своїми серверами. Замість того, щоб отримати доступ лише до власного пристрою, він був вражений тим, що система надала йому ключі до величезної мережі роботів-пилососів. Аздуфал наголосив, що він не здійснював хакерських атак на системи DJI, а лише отримав приватний токен свого особистого пристрою Romo. Він підкреслив, що не порушував жодних правил, не обходив системи захисту і не здійснював брутфорс-атак, що дозволило йому підключитися до живих серверів по всьому світу, включаючи США, Європу та Китай.
Несанкціонований доступ через розроблену Аздуфалом програму дозволяв отримувати точні плани поверхів, що створювалися пристроями під час прибирання. Крім того, програма надавала можливість доступу до прямих трансляцій з камер і мікрофонів, вбудованих у роботів-пилососів, що відкривало потенційний шлях до моніторингу приватного життя користувачів. Цікаво, що виявлена вразливість навіть дозволяла віддалено керувати скомпрометованими пристроями, демонструючи широкий спектр можливостей несанкціонованого контролю.
На щастя, Семмі Аздуфал не використав свої знання для експлуатації конфіденційності інших осіб, натомість оперативно повідомив DJI про виявлену проблему. Компанія, у свою чергу, досить швидко відреагувала на повідомлення, усунувши критичну вразливість за допомогою кількох оновлень, які не вимагали від користувачів жодних додаткових дій. Проте стратег зі штучного інтелекту зазначає, що залишаються деякі невирішені питання, які потребують подальшого втручання. До них належить можливість потокової передачі відео з DJI Romo без необхідності введення захисного PIN-коду, а також інша, нерозголошена проблема через її потенційну серйозність. Найважливіше, Аздуфал вказав, що корінь проблеми полягає не в шифруванні даних, що передаються між пилососом та його сервером, а в тому, що всі ці дані зберігаються у відкритому текстовому форматі, що робить їх легко доступними для будь-кого, хто отримає доступ до сервера.
Цей випадок не є першим прецедентом неналежного поводження роботів-пилососів зі зібраними даними. Минулого року інженер виявив, що його розумний пилосос iLife A11 постійно надсилав журнали та телеметричні дані назад виробнику без очевидної потреби. Коли він заблокував пристрою можливість передавати цю інформацію через свою мережу, виробник відправив “код знищення”, фактично вимкнувши пристрій віддалено. Згодом, завдяки кмітливості та деяким технічним маніпуляціям, інженеру вдалося відновити та використовувати свій пристрій повністю локально, довівши, що робот-пилосос не потребує постійного підключення до хмарного сервісу для належного функціонування.
Безліч користувачів активно купують та встановлюють розумні пристрої Інтернету речей (IoT) у своїх домівках, спокушаючись обіцяною зручністю та спрощенням повсякденних завдань. Однак такі інциденти наочно демонструють приховані небезпеки, коли навіть випадкові втручання можуть призвести до несанкціонованого доступу до систем тисяч пристроїв. Це викликає серйозне занепокоєння, адже дослідники безпеки вказують на те, що якщо звичайні люди можуть випадково натрапити на приватні дані тисяч осіб за допомогою цих гаджетів, то цілеспрямована атака може мати значно руйнівніші наслідки, ніж можна було б очікувати.
