Инженер-программист, который хотел управлять своим новым робопылесосом DJI с помощью геймпада, случайно получил доступ к данным тысяч чужих домов.
Создавая собственное приложение для дистанционного управления, Сэмми Аздуфал, по сообщениям, использовал AI-инструмент для помощи в обратной разработке протоколов связи робота с облачными серверами DJI. Вскоре он обнаружил: те же учётные данные, которые позволяли управлять его собственным устройством, открывали доступ к живым видеопотокам, аудио с микрофонов, картам и статусным данным почти 7 000 других пылесосов в 24 странах. Ошибка в бэкенде фактически выставила на свет целую сеть роботов с подключением к интернету, которые в руках злоумышленников могли превратиться в средства слежки — и владельцы об этом даже не подозревали.
К счастью, Аздуфал не стал злоупотреблять обнаруженной уязвимостью. Вместо этого он поделился деталями с The Verge, которые оперативно связались с DJI и указали на проблему. В беседе с Popular Science компания заявила, что уязвимость «устранена», однако инцидент подчёркивает давние предостережения экспертов по кибербезопасности: роботы, подключённые к интернету, и другие устройства «умного дома» — лакомая мишень для хакеров.
По мере того как в домах появится больше бытовых роботов (включая более интерактивные гуманоидные модели), подобные уязвимости могут становиться всё менее заметными. Инструменты программирования на базе ИИ, которые упрощают задачу людям с ограниченными техническими навыками, дополнительно повышают риск того, что уязвимости будут эксплуатироваться быстрее и в больших масштабах.
Наткнулся на серьёзную брешь в безопасности
Речь идёт о DJI Romo — автономном домашнем робопылесосе, который впервые появился в Китае в прошлом году и сейчас расширяет присутствие в других странах. Его розничная цена примерно $2 000 (≈ ₽190 000 при курсе ~95 ₽/USD). По габаритам устройство сопоставимо с крупной терьер-породой или небольшим холодильником, когда стоит на зарядной станции. Как и у других роботов для уборки, у Romo есть набор сенсоров для ориентирования в пространстве и распознавания препятствий. Пользователи могут планировать задания и управлять устройством через приложение, но основное время оно проводит, убирая и моющим полом автономно.
Для нормальной работы Romo, как и любого современного автономного помощника, требуется постоянный сбор визуальных данных в помещении. Роботу нужно различать, например, кухню и спальню, чтобы корректно выполнять задачи. Часть этих данных хранится не на самом устройстве, а на серверах DJI. Чтобы идея Аздуфала с DIY-контроллером работала, его приложению требовалось связаться с серверами DJI и получить токен безопасности, подтверждающий право собственности на конкретный робот.
Вместо проверки одного токена серверы выдали доступ ко множеству устройств, по сути приняв его за владельца целой группы роботов. Эта ошибка позволила Аздуфалу подключаться к их видеопотокам в реальном времени и активировать микрофоны. Он также утверждает, что мог составлять 2D-планы помещений, где работали роботы. Быстрый анализ IP-адресов показал примерное местоположение устройств. Аздуфал подчёркивает, что это не был «взлом» в классическом смысле — он случайно наткнулся на серьёзную уязвимость.
«DJI выявила уязвимость, затрагивающую DJI Home, в ходе внутреннего аудита в конце января и немедленно приступила к её устранению», — сообщила компания Popular Science. «Проблема была решена двумя обновлениями: первоначальная заплатка развернута 8 февраля, а последующее обновление — 10 февраля. Исправление было внедрено автоматически, никаких действий от пользователей не требуется».
Компания также заявила о намерении «продолжать внедрять дополнительные меры безопасности», не уточнив их природу.
Владельцы сталкиваются с ценой конфиденциальности умного дома
Вопросы безопасности DJI возникли на фоне общей тревоги по поводу возможностей наблюдения, которые предоставляют устройства умного дома. Ранее в этом месяце владельцы камер Ring массово обсуждали спорную рекламу функции «поисковой группы» для домашних животных, которую некоторые восприняли как скрытую угрозу более широкого мониторинга. Параллельно сообщения о том, что Google смог восстановить видео с дверного звонка Nest для помощи в расследовании похищения (хотя ранее считалось, что ролик удалён), возродили дискуссии о степени контроля потребителей над личными данными.
Кроме того, законодатели в США из разных партий годами предупреждали, что китайские производители, включая DJI, могут представлять особую угрозу безопасности. Доказательства таких утверждений неоднозначны, но они использовались для обоснования запретов на некоторые китайские устройства.
Парадокс в том, что робопылесосы и другие гаджеты умного дома исторически часто имели слабую защиту, несмотря на то, что работают в самых приватных зонах наших жилищ. Похоже, среднестатистический пользователь в ближайшем будущем будет охотно допускать в дом ещё больше камер и микрофонов, а не меньше: по оценке Parks Associates, к 2020 году в США не менее 54 миллионов домохозяйств имели как минимум одно устройство умного дома. Другие опросы показывают: те, кто уже установил такие устройства, часто хотят расширить их число.
Типы устройств, которые появляются в домах, тоже усложняются. Хотя рынок всё ещё в зачаточном состоянии, компании вроде Tesla и Figure гонятся за созданием гуманоидных домашних роботов. Производители обещают помощников, которые смогут мыть посуду и выполнять другие хозяйственные задачи — иногда с участием человека. Для полноценной работы такие роботы потребуют беспрецедентного доступа к деталям домашней обстановки. Для сталкера или хакера это потенциальная «золотая жила» данных.
А зная, что Аздуфал хотел всего лишь повозить робота с джойстиком, можно сказать: цель достигнута — он научился управлять устройством дистанционно, но обнаружил наболевшую проблему безопасности.
Почему это важно для вас
Этот инцидент — практическое напоминание о трёх ключевых вещах, которые полезно учитывать владельцам умных устройств:
- Контроль доступа важнее, чем кажется. Даже если устройство кажется «личным», ошибки в облачных сервисах могут дать доступ к данным множества чужих домов.
- Обновления и реагирование производителей имеют значение. В данном случае DJI оперативно развернула исправления, но не все компании так быстро закрывают дыры — и не всегда исправления распространяются автоматически.
- Уменьшать поверхность атаки можно своими средствами: проверяйте разрешения в приложениях, изолируйте устройства умного дома в отдельной сети (VLAN или гостевой Wi‑Fi), используйте надёжные пароли и двухфакторную аутентификацию, где это возможно.
Ещё один практический вывод: инструменты на базе ИИ облегчают реверс-инжиниринг и автоматизацию задач — это облегчает жизнь разработчикам, но и снижает порог входа для тех, кто может захотеть воспользоваться уязвимостью. Владельцам устройств стоит ожидать, что число автономных помощников в домах будет расти, и готовиться к тому, чтобы защищать приватность и управление ими заранее.
Отдельно стоит отметить: DJI — китайская компания, и её устройства традиционно присутствовали и на рынках русскоязычных стран. При этом доступность облачных сервисов и своевременные обновления могут меняться в зависимости от региональных ограничений и политической обстановки.
Коротко о полезности новости
Материал полезен тем, кто уже использует или планирует завести домашнего робота: он показывает реальные риски, демонстрирует, как быстро уязвимость может стать масштабной, и какие шаги помогают снизить опасность. Понимание таких инцидентов помогает принимать информированные решения при покупке и настройке умных устройств.
