Сэмми Аздуфал, обычный программист и по совместительству владелец робота-пылесоса DJI Romo, случайно взломал вообще все такие устройства в мире. Как пишет The Verge, история началась довольно буднично: парень просто хотел написать софт, чтобы рулить своим домашним роботом через геймпад от PlayStation 5.
Когда Аздуфал взялся за код, он наткнулся на дыры в защите серверов DJI. Через свое самодельное приложение он смог зайти во внутреннюю сеть компании, где лежали данные тысяч людей. Программист рассказал, что в какой-то момент видел в системе около 6700 пылесосов, а если считать вместе с зарядными станциями, то под его контролем оказалось больше 10 тысяч гаджетов.
"Я сидел и смотрел, как все эти роботы один за другим всплывают на карте мира", — вспоминает Сэмми.
Эта уязвимость давала доступ к серийным номерам, истории уборок и общему пробегу каждого устройства. Более того, по IP-адресам можно было понять, где именно живут владельцы. Чтобы убедиться, что это не баг, журналисты The Verge скинули Сэмми серийник своего редакционного пылесоса. Он тут же нашел его в базе и получил над ним управление.
Обнаружив такой провал в безопасности, Аздуфал сразу написал в DJI. Разработчики проблему признали и быстро закрыли доступ к данным. Пока одни компании латают дыры в софте, другие заняты «железом»: например, в январе на выставке CES компания Roborock показала робота, который научился сам забираться на ступеньки и ездить по лестницам.
Часто задаваемые вопросы
Программист Сэмми Аздуфал пытался создать софт для управления пылесосом через геймпад PS5 и обнаружил, что серверы компании позволяют получить данные всех подключенных устройств.
Стали доступны серийные номера устройств, история уборок, пройденная дистанция и примерное местоположение владельцев на основе их IP-адресов.
Да, после обращения программиста компания DJI официально устранила уязвимость в своей IT-инфраструктуре.