Сэмми Аздуфал хотел управлять своим роботом-пылесосом с помощью контроллера PS5. Как и любой хороший изобретатель, он подумал, что было бы интересно управлять новым DJI Romo вручную. В результате он получил доступ к армии роботов-уборщиков, которые открыли ему доступ к тысячам домов.
Движимый исключительно игровым интересом, Аздоуфал использовал помощник по кодированию Claude Code AI от Anthropic, чтобы провести обратную разработку протоколов связи своего Romo. Но когда его самодельное приложение подключилось к серверам DJI, около 7000 роботов-пылесосов в 24 странах начали отвечать.
Он мог просматривать изображения с их камер в режиме реального времени, слушать через встроенные микрофоны и создавать планы этажей домов, в которых никогда не бывал. Имея всего лишь 14-значный серийный номер, он точно определил местонахождение робота журналиста Verge, подтвердил, что тот убирает гостиную с зарядом батареи 80%, и создал точную карту дома из другой страны.
Техническая неисправность была почти комично проста. Брокер сообщений MQTT компании DJI не имел средств контроля доступа на уровне тем. После аутентификации с помощью одного токена устройства можно было видеть трафик с других устройств в виде открытого текста.
Ответ пришел не только от пылесосов. Появились и портативные аккумуляторные станции DJI Power, работающие на той же инфраструктуре MQTT. Это домашние резервные генераторы, мощность которых можно увеличить до 22,5 кВт·ч, предназначенные для обеспечения работы вашего дома во время отключений электроэнергии.
Отличие от обычного обнаружения уязвимости заключается в том, как это произошло. Аздоуфал использовал Claude Code для декомпиляции мобильного приложения DJI, изучения его протокола, извлечения своего собственного токена аутентификации и создания настраиваемого клиента.
Инструменты кодирования ИИ снижают планку для продвинутой наступательной безопасности. Число людей, способных исследовать протоколы Интернета вещей (IoT), значительно увеличилось, что еще больше подорвало оставшуюся веру в безопасность за счет скрытности.
Почему многие пылесосы с IoT не работают
Это не первый случай, когда кто-то удаленно взломал робот-пылесос. В 2024 году hackers захватили контроль над пылесосами Ecovacs Deebot X2 в городах США, выкрикивая оскорбления через динамики и гоняясь за домашними животными. Защита PIN-кодом Ecovacs проверялась только приложением, но никогда сервером или устройством.
В сентябре прошлого года южнокорейский орган по защите прав потребителей проверил шесть брендов. Samsung и LG показали хорошие результаты, а в трех китайских моделях были обнаружены серьезные недостатки. Dreame X50 Ultra позволял удаленно активировать камеру. Исследователь Деннис Гизе позже сообщил CISA об уязвимости TLS в приложении Dreame. Dreame не ответила на запросы CISA.
Ситуация повторяется: производители поставляют пылесосы с типичными недостатками в области безопасности, игнорируют исследователей, а затем суетятся, когда журналисты публикуют свои материалы.
Первоначальная реакция DJI только усугубила ситуацию. Пресс-секретарь Дейзи Конг заявила The Verge, что проблема была устранена на прошлой неделе. Это заявление поступило примерно за тридцать минут до того, как Аздоуфаль продемонстрировал тысячи роботов, в том числе и тестовый экземпляр журналиста, которые по-прежнему передавали данные в режиме реального времени. Позже DJI опубликовала более полное заявление, в котором признала наличие проблемы с проверкой разрешений на сервере и выпустила два патча 8 и 10 февраля.
DJI заявила, что шифрование TLS всегда было в силе, но Аздоуфал утверждает, что оно защищает соединение, а не его содержимое. Он также сообщил The Verge, что дополнительные уязвимости остаются незакрытыми, в том числе обход PIN-кода на камере.
Регулирующие органы оказывают давление
Регулирование наступает, но медленно. Закон ЕС о киберустойчивости будет требовать обязательного обеспечения безопасности при проектировании всех подключенных к сети продуктов, продаваемых в блоке, к декабрю 2027 года, с штрафами до 15 миллионов евро. Закон PSTI Великобритании, вступивший в силу в апреле 2024 года, стал первым в мире законом, запрещающим использование стандартных паролей на интеллектуальных устройствах. В отличие от этого, американский знак доверия в киберпространстве (US Cyber Trust Mark) является добровольным. Технически эти рамки применяются независимо от местонахождения производителя. На практике, наложение штрафов на компанию из Шэньчжэня, игнорирующую запросы CISA о координации, — это совсем другое дело.
Как оставаться в безопасности
Есть практические шаги, которые вы можете предпринять:
- Перед покупкой подключаемых устройств проверьте результаты независимых тестов безопасности.
- Разместите устройства IoT в отдельной гостевой сети.
- Обновляйте прошивку
- Отключите ненужные функции
И спросите себя, действительно ли пылесосу нужна камера. Многие модели, оснащенные только LiDAR, эффективно ориентируются без видео. Если ваше устройство оснащено камерой или микрофоном, подумайте, устраивает ли вас такая степень открытости, или же физически закрывайте объектив, когда устройство не используется.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
