Сегодня, когда умные устройства становятся неотъемлемой частью наших домов, грань между удобством и полной потерей конфиденциальности становится опасно тонкой. История Сэмми Аздуфала, который решил взломать свой новый пылесос DJI Romo, чтобы управлять им с помощью контроллера PS5, является прекрасным примером того, насколько хрупкой является безопасность в мире Интернета вещей.
Вместо того, чтобы невинно играть с гаджетом, молодой программист случайно открыл цифровую дверь в тысячи квартир по всему миру. Используя инструменты на основе искусственного интеллекта, Аздуфалу удалось проанализировать протоколы связи устройства, что привело его к шокирующему открытию. Оказалось, что токен авторизации, который должен был предоставлять доступ только к его собственному устройству, на самом деле давал ему права администратора над всем парком роботов DJI.
Опасная лазейка в частной жизни вашего дома
Всего за девять минут после запуска своего собственного приложения Аздуфал подключился к более чем 6,7 тысячам пользователей. устройства расположены в 24 странах. Масштаб проблемы был разрушительным, поскольку хакер мог не только удаленно управлять пылесосами, но и получать доступ к изображению с камер и звуку с микрофонов в режиме реального времени. Эксперимент, проведенный на устройстве друга, подтвердил худшие опасения — возможность слежки за частной жизнью пользователей без их ведома и согласия. Кроме того, система позволяла генерировать полные планы квартир в формате 2D, что в руках преступников могло служить идеальным инструментом для планирования краж со взломом. Каждый робот каждые три секунды отправлял пакеты данных, содержащие его серийный номер, состояние батареи и даже подробную информацию о препятствиях, встреченных в гостиной или спальне.
Ошибки связи с облаком
Техническая основа этого пробела в безопасности свидетельствует о грубой халатности со стороны производителя, который только что вышел на рынок роботов-уборщиков. Проблема оказалась в неправильной настройке сервера MQTT — популярного протокола, используемого для отправки сообщений между IoT-устройствами и облаком. На этом сервере не было соответствующих механизмов контроля разрешений на уровне конкретных тем общения. На практике это означало, что после аутентификации с помощью одного правильного токена пользователь получал представление обо всем сетевом трафике других устройств.
Эксперты по кибербезопасности отмечают, что подобные ошибки являются результатом того, что скорость внедрения продукта отдается приоритету тщательному тестированию безопасности. Хуже того, производители часто забывают об основном принципе изоляции пользовательских данных в облаке.
Конфиденциальность стоит тысячи долларов
Реакция DJI на сообщение The Verge о проблеме изначально была довольно хаотичной и неполной. Представитель компании Дэйзи Конг заявила, что уязвимость уже исправлена, а Аздуфаль продолжал демонстрировать журналистам активный доступ к тысячам устройств. В конечном итоге производителю пришлось выпустить две серии патчей для эффективной блокировки несанкционированного доступа. Такая ситуация бросает тень на доверие к устройствам умного дома, тем более что цена DJI Romo достигает почти 1000 злотых. Долларов США, что должно означать продукт премиум-класса и с точки зрения цифровой защиты. Это не первый случай, когда устройства для очистки становятся инструментом наблюдения, напоминая об инциденте, когда хакеры взяли под контроль динамики роботов другой марки. В мире цифровых активов, где Биткойн является синонимом безопасности, а Эфириум обеспечивает смарт-контракты, пользователи ожидают такой же тщательности в защите своих домов от незваных гостей, а также в онлайн-безопасности.
