Непреднамерено бе разкрит пропуск в сигурността, който изложи хиляди роботизирани прахосмукачки DJI Romo на неоторизиран достъп, след като един потребител създаде приложение за управление на собственото си устройство с контролер за PlayStation конзола. Този проблем позволи на приложението да извлича точни планове на етажите, да получава достъп до камери и микрофони на живо и дори да управлява дистанционно засегнатите устройства.

Това беше случайно открито от ИИ специалиста Сами Адуфал, който използва Claude Code, за да направи обратно инженерство на протокола, използван от DJI Romo за комуникация със сървърите си. Но вместо да му позволи достъп само до собственото му устройство, то му предостави ключовете за около 6700 робота прахосмукачки, разположени по целия свят. Адуфал заяви, че не е хакнал системите на DJI – всичко, което е направил, е да получи частния токен на своя модел прахосмукачка от серията Romo.

„Не съм нарушил никакви правила, не съм заобикалял, не съм пробивал, не съм използвал груба сила, нищо подобно“, заявява той пред The Verge. Поради това той е имал достъп до сървъри в реално време по целия свят, включително в САЩ, Европа и дори Китай.

За щастие той не е използвал тази информация, за да наруши личното пространство на други хора. Вместо това мъжът се свързал с DJI по този въпрос и компанията в крайна сметка е разрешила проблема чрез няколко актуализации, които не са изисквали никакви действия от страна на потребителите. Все пак специалистът по изкуствен интелект казва, че все още има няколко нерешени въпроса, които трябва да бъдат разгледани. Това включва възможността за стрийминг на видеопотока на DJI Romo без PIN код за сигурност и друг неразкрит поради неговата сериозност проблем. По-важното е, че Адуфал посочи, че същността на проблема не се крие в криптирането, използвано от робота прахосмукачка при комуникацията с неговия сървър, а в това, че всички данни се съхраняват в обикновен текст и могат лесно да бъдат прочетени от всеки, който получи достъп до сървъра.

Това не е първият случай, в който се установява, че робот прахосмукачка не се справя добре с данните, които събира. Миналата година инженер откри, че неговата интелигентна прахосмукачка iLife A11 постоянно изпраща логове и телеметрични данни на производителя. Когато той блокира изпращането на цялата тази информация през мрежата си, производителят изпрати код за деактивиране на устройството, което на практика го направи неизползваемо от разстояние. С малко майсторство и изобретателност той успя да възстанови и да използва устройството си изцяло локално, доказвайки, че роботът прахосмукачка не е необходимо да бъде свързан с облака 24/7, за да работи по предназначение.

Много потребители купуват и инсталират IoT смарт устройства в домовете си заради удобството, което те носят, но инциденти като този показват колко опасни могат да бъдат те, като любители програмисти получават случаен достъп до тези системи, без да искат. Това повдига няколко тревожни въпроса, като изследователите в областта на сигурността посочват, че ако обикновените хора могат да се натъкнат на личните данни на хиляди хора чрез тези устройства, тогава една координирана атака би могла да бъде много по-опасна от очакваното.

Снимка: Pexels/DJI

Виж още: Някога считано за невъзможно: yчени превърнаха олово в злато