Утечка данных из роботов-уборщиков китайского производителя: уязвимость безопасности DJI и доступ к камерам

Вместо уборки он шпионил? Как Сэмми Аздуфаль «взломал» робота DJI

Сэмми Аздуфал взломал беспилотный пылесос от китайского производителя – сообщает The Verge. На самом деле, как он утверждает, он не взламывал никакие серверы. По его словам, он хотел лишь управлять своим новым роботом. с помощью планшета PlayStation 5. Для этого он создал собственное приложение и начал анализировать, как устройство общается с облаком производителя.

7000 пылесосов на одном экране. Данные со всего мира в руках программиста

Интересно, что когда его приложение подключилось к инфраструктуре DJI — производителя робота, откликнулся не только его собственный пылесос. Через несколько минут тысячи устройств начали подключаться к его компьютеру. со всего мира. По данным сайта, ок. 7000 роботов из 24 стран регулярно отправлял данные:

1. серийные номера,
2. статус очистки,
3. уровень заряда батареи,
4. информация о препятствиях,
5. подробные схемы квартир в 2D.

Каждый робот отправлял отчеты на сервер каждые несколько секунд. Ноутбук Аздуфаля начал каталогизировать устройства из Европы, США и Азии в режиме реального времени.

Вид с камеры пылесоса. Что видел ноутбук Аздуфала?

Но больше всего беспокоило другое. По данным The Verge, Аздуфал утверждает, что ему удалось:

1. запустить предварительный просмотр видео от вашего робота без ввода PIN-кода,
2. смотреть трансляцию с камеры,
3. проверить, как устройство отображает конкретные комнаты,
4. определить примерное местоположение устройств по IP-адресу.

На этом все не заканчивается. В ходе демонстрации он показал, что если знать 14-значный серийный номер, то можно его получить. доступ к данным конкретной копии – включая информацию о том, какую комнату он убирает и уровень заряда батареи, – пишет The Verge.

Ответ производителя пылесоса: действительно ли исправления DJI закрыли лазейку?

После того, как Аздуфаль и The Verge сообщили об этом, продюсер признался, что Возникла проблема с проверкой разрешений. на внутренней стороне. DJI объявил, что:

1. уязвимость была обнаружена внутри компании в конце января,
2. реализовано два исправления (8 и 10 февраля),
3. обновление было применено автоматически,
4. Связь между устройствами была зашифрована TLS.

При этом компания признала, что первая поправка не распространялась на все серверные узлы. DJI уверяет, что проблема полностью решенаОднако Аздуфал считает, что еще не все обнаруженные им уязвимости устранены.

Один хакер и тысячи квартир. Умный дом — цифровая ловушка?

Ситуация с роботом DJI поднимает этот вопрос. вопросы о безопасности и конфиденциальности владельцев умные домашние устройства. Если один энтузиаст, используя общедоступные инструменты и анализ сетевого трафика, смог получить представление о тысячах устройств по всему миру — действительно ли наши умные дома так безопасны, как мы думаем?