Рига: +4.2°С
Неожиданный поворот: от геймпада до глобального доступа
Обычное желание дистанционно управлять бытовой техникой обернулось для одного энтузиаста беспрецедентным открытием в области кибербезопасности. Сэмми Аздуфаль, руководитель отдела пропаганды цифровых технологий и ИИ в CLINITEX Groupe, хотел всего лишь подружить свой новый робот-пылесос DJI Romo с геймпадом от PlayStation 5 (PS5). Однако в результате этого эксперимента он обнаружил критическую уязвимость в системе DJI, которая дала ему потенциальный контроль над тысячами устройств по всему миру.
Изначально Аздуфаль, воспользовавшись помощью ИИ-ассистента, разработал собственное приложение для управления пылесосом через контроллер DualSense. Приложение должно было взаимодействовать с официальными серверами DJI. Вместо того чтобы получить команду только для своего устройства, система внезапно выдала разработчику доступ к огромному массиву данных, что позволило ему стать «королем» для почти 7000 активных роботов-пылесосов Romo.
Каталог тысяч устройств и сбор данных
Проблема заключалась в недостаточной проверке аутентификации на стороне серверов DJI, использующих протокол MQTT. По словам очевидцев, токен доступа, полученный от одного устройства, оказался универсальным ключом ко всей флотилии.
«Я обнаружил, что мое устройство было лишь одним из множества», — комментировал Аздуфаль, подчеркивая, что он не прибегал к традиционным методам взлома, а скорее использовал ошибку в логике предоставления разрешений.
В течение всего девяти минут работы приложения Аздуфаль смог каталогизировать приблизительно 6700 устройств DJI, находящихся в 24 различных странах. Роботы, как сообщается, каждые три секунды отправляли на серверы служебные пакеты данных. Эти данные включали серийные номера, информацию о маршрутах уборки, пройденном расстоянии и даже о препятствиях, встреченных на пути. Более того, если учесть сопутствующие устройства, например, портативные электростанции DJI Power, общее число устройств, к которым теоретически мог получить доступ Аздуфаль, превышало 10 000.
Прямой доступ к частной жизни
Наибольшую тревогу вызывает не просто возможность управления, а доступ к конфиденциальной информации, получаемой через встроенные камеры и микрофоны роботов. Исследователь смог просматривать прямые видеотрансляции с камер устройств, что давало ему возможность видеть интерьеры домов своих владельцев. Роботы-пылесосы, как известно, во время работы сканируют помещения и строят подробные карты, которые также стали доступны. Используя IP-адреса устройств, можно было определить их приблизительное географическое положение.
В одном из экспериментов Аздуфаль продемонстрировал, что смог запустить прямую трансляцию со своего Romo, полностью обойдя даже встроенный PIN-код безопасности. Эта возможность просмотра видеопотока без дополнительной авторизации стала одной из выявленных серьезных недоработок.
Реакция DJI и дальнейшие шаги
После того как Сэмми Аздуфаль уведомил компанию DJI о критическом провале в системе безопасности, производитель оперативно отреагировал. DJI подтвердила, что проблема была связана с проверкой разрешений на сервере MQTT и была обнаружена еще в конце января. Компания заявила, что устранила основную уязвимость двумя обновлениями программного обеспечения, выпущенными в середине февраля.
После уведомления доступ к удаленному управлению другими устройствами был незамедлительно ограничен, а затем и полностью закрыт. Тем не менее, сам Аздуфаль отмечал, что некоторые уязвимости могли сохраняться. Он, например, упомянул о возможности просмотра собственного видеопотока без PIN-кода, а также о наличии еще одной, столь серьезной проблемы, которую он решил не раскрывать публично, чтобы дать производителю дополнительное время на ее исправление.
Уроки для индустрии «умного дома»
Этот инцидент стал ярким напоминанием о том, насколько уязвимыми могут быть продукты для «умного дома», даже выпущенные крупными технологическими гигантами. DJI Romo, имеющий узнаваемый прозрачный дизайн, по-видимому, уделял меньше внимания кибербезопасности на стадии разработки, чем своим аппаратным характеристикам.
Случай с Аздуфалем подчеркивает, что для злоумышленников отсутствие должного разграничения прав доступа на сервере может быть более опасным, чем сложность самого шифрования данных (которое, по заявлению DJI, использовалось). Эксперты в области безопасности отмечают, что инцидент показал, как легко энтузиасту, даже с помощью современных инструментов вроде генеративного ИИ, выявить системные ошибки, которые могут быть использованы в злонамеренных целях. Этот скандал, развернувшийся в феврале 2026 года, наверняка послужит поводом для ужесточения протоколов безопасности в сегменте IoT (Интернет вещей) по всему миру.
Следите за новостями на других платформах: