Как заглянуть в 7 тысяч спален, не вставая с дивана. Мастер-класс по случайному взлому от испанского разработчика
NewsMakerКонтроллер от PS5 внезапно превратился в универсальный ключ к чужим тайнам.
Неосторожный эксперимент с «умной» техникой обернулся глобальной проблемой безопасности. Разработчик из Испании случайно получил доступ к тысячам устройств DJI по всему миру, пытаясь подключить робот-пылесос к игровому контроллеру. История быстро разошлась по профильным изданиям и вновь напомнила, насколько уязвимой может быть облачная инфраструктура бытовых гаджетов.
Самми Аздуфал, руководитель направления искусственного интеллекта в компании по управлению арендной недвижимостью, приобрёл недавно представленный робот-пылесос Romo от DJI и решил поэкспериментировать с дистанционным управлением через контроллер DualSense от PlayStation 5. Он написал собственное приложение, используя инструменты для генерации кода на базе ИИ. Предполагалось, что программа подключится к его устройству через облачные серверы производителя. Однако вместо одного пылесоса система открыла доступ примерно к 6 700 устройствам в 24 странах.
Позднее выяснилось, что тот же серверный контур обслуживает и портативные электростанции DJI. В итоге общее число доступных гаджетов превысило 10 000. Через созданное приложение Аздуфал мог управлять техникой так, будто она принадлежит ему: запускать уборку, менять направление движения, просматривать изображение со встроенных камер. Помимо этого открывались серийные номера, IP-адреса, уровень заряда батареи и другие служебные данные. Роботы также хранили детальные планы помещений, которые автоматически строят во время работы.
По словам разработчика, достаточно было ввести 14-значный код, чтобы обойти PIN-защиту любого из устройств. О находке он уведомил DJI. Компания оперативно закрыла уязвимость и сообщила, что уже работала над исправлением проблемы в механизме проверки прав доступа на серверной стороне, но обновление ещё не развернули повсеместно.
В официальном комментарии DJI подчеркнула, что фактических злоупотреблений было немного и в основном речь шла о специалистах, изучавших защиту системы. Производитель также напомнил, что использует шифрование при передаче данных. Однако Аздуфал после инцидента обнаружил и другие слабые места, одно из которых оказалось настолько серьёзным, что детали решили не раскрывать публично.
Ситуация вновь обострила дискуссию о рисках облачного управления «умным домом». При наличии корректных учётных данных производитель или его сотрудники теоретически получают широкий доступ к персональным данным пользователей. Несмотря на то, что DJI хранит данные на серверах в США, эксперимент показал, что подключиться к ним можно практически из любой точки мира. На фоне недавнего запрета на ввоз некоторых зарубежных дронов в США история с Romo добавляет аргументов сторонникам жёсткого контроля IoT-устройств .
Неосторожный эксперимент с «умной» техникой обернулся глобальной проблемой безопасности. Разработчик из Испании случайно получил доступ к тысячам устройств DJI по всему миру, пытаясь подключить робот-пылесос к игровому контроллеру. История быстро разошлась по профильным изданиям и вновь напомнила, насколько уязвимой может быть облачная инфраструктура бытовых гаджетов.
Самми Аздуфал, руководитель направления искусственного интеллекта в компании по управлению арендной недвижимостью, приобрёл недавно представленный робот-пылесос Romo от DJI и решил поэкспериментировать с дистанционным управлением через контроллер DualSense от PlayStation 5. Он написал собственное приложение, используя инструменты для генерации кода на базе ИИ. Предполагалось, что программа подключится к его устройству через облачные серверы производителя. Однако вместо одного пылесоса система открыла доступ примерно к 6 700 устройствам в 24 странах.
Позднее выяснилось, что тот же серверный контур обслуживает и портативные электростанции DJI. В итоге общее число доступных гаджетов превысило 10 000. Через созданное приложение Аздуфал мог управлять техникой так, будто она принадлежит ему: запускать уборку, менять направление движения, просматривать изображение со встроенных камер. Помимо этого открывались серийные номера, IP-адреса, уровень заряда батареи и другие служебные данные. Роботы также хранили детальные планы помещений, которые автоматически строят во время работы.
По словам разработчика, достаточно было ввести 14-значный код, чтобы обойти PIN-защиту любого из устройств. О находке он уведомил DJI. Компания оперативно закрыла уязвимость и сообщила, что уже работала над исправлением проблемы в механизме проверки прав доступа на серверной стороне, но обновление ещё не развернули повсеместно.
В официальном комментарии DJI подчеркнула, что фактических злоупотреблений было немного и в основном речь шла о специалистах, изучавших защиту системы. Производитель также напомнил, что использует шифрование при передаче данных. Однако Аздуфал после инцидента обнаружил и другие слабые места, одно из которых оказалось настолько серьёзным, что детали решили не раскрывать публично.
Ситуация вновь обострила дискуссию о рисках облачного управления «умным домом». При наличии корректных учётных данных производитель или его сотрудники теоретически получают широкий доступ к персональным данным пользователей. Несмотря на то, что DJI хранит данные на серверах в США, эксперимент показал, что подключиться к ним можно практически из любой точки мира. На фоне недавнего запрета на ввоз некоторых зарубежных дронов в США история с Romo добавляет аргументов сторонникам жёсткого контроля IoT-устройств .