Программист СЛУЧАЙНО получил контроль над тысячами роботов-пылесосов по всему миру. Как говорится, спасибо за новую фобию
У Сэмми Аздуфала была странная, но понимаемая идея — он хотел управлять своим роботом-пылесосом контроллером от PS5.
Чтобы добиться этого, он попросил ИИ-ассистента Claude расшифровать протоколы связи своего пылесоса DJI Romo и навайбкодить приложение для подключения к нему.
В результате, когда Аздуфал попросил ИИ-бота с помощью этого приложения подключиться к роботу-пылесосу… он подключился сразу к 7 тысячам устройств по всему миру.
АААА!
Сэмми Аздуфал мог дистанционно управлять ими, подключаться к камерам, смотреть планы квартир и определять точное местоположение домов.
При этом он не планировал делать ничего незаконного, поэтому сразу сообщил об уязвимости журналистам и компании DJI.
Как это вообще возможно?
Уязвимость оказалась издевательски простой. При авторизации с помощью токена одного устройства серверы DJI начали присылать Аздуфалу данные не только от его пылесоса, но и от всех остальных роботов DJI, которые были в сети.
Это произошло из-за отсутствия контроля доступа на уровне тем в протоколе MQTT, через который умные устройства передавали данные.
Это не первый случай, когда кто-то удаленно взломал робот-пылесос. В 2024 году хакеры взломали пылесосы Ecovacs, гонялись ими за домашними животными и кричали ругательства через встроенные динамики.
А вот что можно сделать, чтобы снизить риски:
Из очевидного: при покупке читай не только описание функций, но и независимые тесты безопасности.
Регулярно обновляй прошивку.
Отключай все ненужные функции.
А еще специалисты советуют подключать умные устройства к отдельной гостевой сети (ее можно создать на том же роутере) — но это уже сложнее.
Ну же, подписывайся на