У инженера-программиста Сэмми Аздуфала была скромная цель: он хотел управлять своим роботом-пылесосом с помощью геймпада PS5, потому что управлять вещами с помощью геймпада — это круто. Однако вскоре после осуществления этой мечты Аздуфал обнаружил, что получил контроль над более чем 7000 роботами, которые были рады предоставить ему изображения с камер и планы этажей чужих домов в двух десятках стран по всему миру (через The Verge).
Повышение Аздуфаля до международного командира роботов произошло после того, как Клоду Коду было поручено проанализировать трафик между его недавно приобретенным пылесосом DJI Romo и серверами производителя. Но когда предоставленный им токен безопасности дал ему доступ не только к DJI Romo, но и к все DJI Romos по всему миру, было ясно, что он наткнулся на явный недостаток безопасности.
Каждые три секунды приложение Azdoufal, созданное Клодом, собирало серийные номера тысяч роботов, возвращающихся на базу, сообщая информацию о маршрутах уборки, состоянии заряда и препятствиях, с которыми они столкнулись. Он мог активировать их бортовые камеры и микрофоны. Он мог реконструировать двухмерные планы этажей домов их владельцев, используя записанные ими пространственные данные. И зная IP-адрес каждой машины, он мог приблизительно определить местоположение каждого робота-пылесоса.
Служба безопасности DJI предоставила целый аппарат глобального наблюдения парню, который просто хотел управлять своим пылесосом с помощью DualSense ради удовольствия.
DJI выпустила патч для соответствующих пылесосов, который устранял надзор за безопасностью, через несколько дней после того, как с ним связались Azdoufal и The Verge, а представитель признал, что «проблема с проверкой разрешений на серверную часть, влияющая на связь на основе MQTT между устройством и сервером», допускает «теоретическую возможность несанкционированного доступа к живому видео с устройства ROMO». И действительно, кто из нас не сталкивался с проблемой проверки разрешений на серверной части, влияющей на связь на основе MQTT?
Однако Аздуфал говорит, что некоторые уязвимости, которые он обнаружил в результате подстрекательства Клода, остаются неустраненными. DJI взяла на себя обязательство зашить оставшиеся дыры «в течение нескольких недель», но нам всем приходится давать свои собственные тревожные объяснения того, почему пылесосу вообще нужен микрофон. Слух — это не то чувство, которое нужно пылесосу. В основном ему нужны только те, которые подходят для уборки пылесосом.
Учитывая наше продолжающееся безрассудное погружение в электрическую беду, неудивительно, что это не первый случай шпионажа роботов. В 2024 году хакеры использовали недостатки безопасности в пылесосах Ecovacs, чтобы шпионить за их владельцами, оскорблять их и преследовать их собак. Это цена, которую мы решили заплатить, когда каждое подключенное к Интернету устройство, которое мы допускаем в наш дом, является устройством, инженеры по безопасности которого могли бы довольствоваться словами «Эх, достаточно хорошо», прежде чем вывести его на рынок. Лично я предпочитаю свой дом на комфортном уровне неразумности, и я рад внести свой вклад в эту здоровую медиану.
Это не значит, что умные устройства полностью неизлечимо, однако. В конце концов, Аздуфалу удалось заставить работать геймпад своего пылесоса. Стоило того?
