Дослідник випадково отримав доступ до понад 6 700 роботів-пилососів по всьому світу через помилку безпеки в системі DJI Romo. Інцидент стався під час спроби налаштувати керування власним пристроєм за допомогою контролера PlayStation. Виявлена проблема дозволяла переглядати плани приміщень, транслювати відео та аудіо з пристроїв, а також дистанційно ними керувати.
Як було виявлено проблему
AI-стратег Семмі Адуфал намагався створити застосунок для керування власним пилососом через геймпад PlayStation. Для цього він використав Claude Code, щоб дослідити протокол обміну даними між пристроєм і сервером.
Отримавши приватний токен свого пилососа, дослідник несподівано отримав доступ не лише до власного пристрою, а й до тисяч інших. За його словами, він не зламував сервери та не обходив захист – доступ відкрився через помилкову конфігурацію серверної частини.
Система дозволяла отримувати точні плани приміщень, переглядати відео з вбудованих камер у режимі реального часу, прослуховувати аудіо з мікрофонів і навіть дистанційно керувати пристроями, причому доступ поширювався на сервери в США, Європі та Китаї.
Реакція компанії
Після виявлення вразливості дослідник повідомив про проблему виробника. DJI випустила кілька оновлень, які були встановлені автоматично та не вимагали дій від користувачів.
Втім, за словами Адуфала, залишаються додаткові ризики. Зокрема, можливість трансляції відео без PIN-коду безпеки та ще одна серйозна проблема, деталі якої не розголошуються.
Головна причина вразливості, як зазначається, полягала не в слабкому шифруванні, а в тому, що частина даних зберігалася у відкритому вигляді на сервері, що робило їх доступними для читання у разі отримання доступу до системи.
