Любознательный инженер случайно возглавил целую армию роботов-пылесосов

Любопытство инженера Сэмми Аздуфаля обернулось крупным скандалом в сфере интернета вещей. Он решил разобраться в протоколах связи пылесоса DJI Romo и взять его под ручной контроль с помощью джойстика от PlayStation 5. Вооружившись ИИ-помощником по написанию кода Claude Code от компании Anthropic, Аздуфаль разработал собственное приложение и подключился к серверам производителя. Но в результате, вместо одного пылесоса на связь вышли почти семь тысяч устройств из 20 стран. Инженеру открылся доступ к прямым видеотрансляциям с камер пылесосов, записям с микрофонов и детальным картам помещений.

Проблема оказалась до смешного простой. Диспетчер сообщений MQTT, используемый компанией DJI, не имел контроля доступа на уровне тем. Единый токен устройства после аутентификации позволял просматривать трафик других роботов в незашифрованном виде. Но в этой истории важно не только само наличие уязвимости, но и способ ее обнаружения. Использование инструментов генеративного ИИ для декомпиляции мобильного приложения, анализа протоколов и создания собственного клиента резко снижает порог входа для проведения таких — и гораздо более сложных атак.

Реакция DJI на расследование Аздуфаля оказалась противоречивой. Пресс-секретарь Дейзи Конг заявила об устранении ошибки, однако буквально через полчаса исследователь продемонстрировал, что тысячи устройств по всему миру продолжают транслировать видео. Позже, 8 и 10 февраля, компания выпустила более развернутые заявления, признав проблему с проверкой разрешений на сервере и сообщив о двух исправлениях. Однако, по словам Аздуфаля, шифрование TLS защищает лишь канал связи, но не сами данные, а другие уязвимости, включая обход PIN-кода камеры, остаются открытыми.

На этом фоне регуляторы пытаются ужесточить требования к производителям умной техники. Проблема в том, что даже самые строгие законы сложно применить к компаниям, которые просто игнорируют запросы регуляторов из других стран. Пользователям остается полагаться лишь на собственную бдительность. Эксперты советуют выделять для устройств интернета вещей отдельную гостевую сеть, своевременно обновлять прошивки и отключать все неиспользуемые функции. Особенно стоит задуматься о необходимости камеры в пылесосе: современные лидарные системы прекрасно ориентируются в пространстве без видеосъемки.