Испанский разработчик хотел подключить геймпад к умному пылесосу DJI Romo, чтобы управлять им дистанционно, и случайно получил доступ к тысячам этих устройств по всему миру, пишет The Verge.

Сэмми Аздуфаль далеко не дилетант. Он руководит отделом пропаганды цифровых технологий и искусственного интеллекта в компании Clinitex. Он решил подключить геймпад от PlayStation 5 к пылесосу в исследовательских целях. Для этого Аздуфаль создал приложение для дистанционного контроля устройства, но «откликнулись» еще около 7 тысяч пылесосов из домов в разных уголках планеты. Аздуфаль не только смог управлять ими, но еще и получил доступ к камерам и микрофонам устройств. Что еще более тревожно, общий массив данных, к которым открылся доступ, позволяет создать подробный план дома хозяина пылесоса.

Но за незнакомцами Аздуфаль не шпионил, а проверил актуальность данных на знакомом обладателе такой же модели, который дал свое согласие на эксперимент. Далеко не все могут оказаться такими сознательными. Если в данном случае взлом произошел сам собой, можно только догадываться, какие возможности есть у реальных злоумышленников. Как минимум доступ к пылесосам позволит им детально спланировать ограбление.

Испанский разработчик утверждает, что не предпринимал абсолютно никаких действий, чтобы специально взломать серверы DJI. Но эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин считает, что таких случайностей не бывает:

Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Конечно, данный исследователь хитрит. Вся красивая история про PlayStation 5, геймпад, подключение к пылесосу — это все больше для маркетинга, на мой взгляд. То есть на самом деле человек опытный. Это человек, который умеет работать с приложениями. Может быть, все действительно началось с того, что этот товарищ попробовал управлять своим пылесосом, но в итоге произвел некий реверс-инжиниринг. Я напомню, что реверс-инжиниринг приложений запрещен. Я думаю, что DJI вполне может пойти судиться с данным господином. А как это работает? У нас же любое приложение умного устройства всегда связано с главным сервером. Собственно, этим он и воспользовался — назвался, скорее всего, одним из серверов. Это ошибка архитектуры со стороны DJI».

DJI постарался исправить ошибку максимально быстро. Причем в компании настолько торопились, что отчитались об устранении уязвимости заранее, когда Аздуфаль еще имел полный доступ к тысячам пылесосов. Продолжает директор технического департамента RTM Group Федор Музалевский:

Федор Музалевский директор технического департамента RТМ Group, эксперт в области информационной безопасности и компьютерной криминалистики «Это называется словом «уязвимость». Это говорит об отсутствии тестирования продуктивных образцов. Это касается практически всех образцов IoT, то есть интернета вещей, которые выпускаются в мире, а у нас в стране — и подавно. То есть поиск каких-то уязвимостей ведется только в тех случаях, если это действительно требуется, причем требуется законодательством, регулятором и так далее. В частности, pentest — тестирование безопасности на проникновение — какого-то медицинского оборудования. С пылесосами никто не заморачивается, и поэтому дыр там очень много. Устранили одну конкретную уязвимость — в целом продукт сильно безопаснее от этого не стал, потому что полный перечень уязвимостей никто не составлял: элементарно не проводилось тестирование продукта на безопасность».

Казалось бы, робот-пылесос — устройство безобидное. Но проблемы с их безопасностью возникают далеко не впервые. Например, в 2024 году неизвестные взломали пылесосы бренда Ecovacs и заставили их произносить расистские оскорбления в адрес своих хозяев. А в прошлом году хакерской атаке подверглись умные пылесосы китайской марки Dreame — тогда злоумышленникам удалось получить доступ к их камерам в режиме реального времени.