Пользователь случайно получил контроль над 6700 роботами-пылесосами, экспериментируя со своим

Уязвимость в системе безопасности, которая открыла доступ к тысячам роботов-пылесосов DJI Romo, была случайно обнаружена энтузиастом, который создавал приложение для управления своим устройством с помощью контроллера PlayStation. Как сообщает The Verge, эта проблема позволяла приложению получать точные планы помещений, доступ к прямой трансляции с камеры и микрофона, а также удалённо управлять затронутыми устройствами.

Это случайное открытие сделал специалист по ИИ Сэмми Адуфал, который использовал Claude Code для реверс-инжиниринга протокола, используемого DJI Romo для связи со своими серверами. Но вместо того чтобы получить доступ только к своему собственному устройству, он получил «ключи» примерно к 6700 роботам-пылесосам, расположенным по всему миру. Адуфал заявил, что не взламывал системы DJI — всё, что он сделал, это получил приватный токен своего собственного пылесоса Romo.

«Я не нарушал никаких правил, я не обходил защиту, не взламывал, не подбирал пароли и так далее», — сказал он The Verge.

К счастью, он не использовал эти знания для нарушения чужой приватности. Он связался с DJI по поводу проблемы, и компания в конечном итоге устранила её с помощью нескольких обновлений, не требующих действий от пользователя. Тем не менее, специалист по ИИ отмечает, что остаётся ещё пара нерешённых проблем, которые необходимо устранить. К ним относится возможность транслировать видео с камеры DJI Romo без PIN-кода безопасности и ещё одна нераскрытая проблема из-за её серьёзности. Что более важно, Адуфал указал, что суть проблемы заключается не в шифровании, используемом роботом-пылесосом при связи с сервером, а в том, что все данные хранятся в открытом виде и могут быть легко прочитаны любым, кто получит доступ к серверу.

Это не первый случай, когда робот-пылесос оказывается небрежным в обращении с собираемыми данными. В прошлом году инженер обнаружил, что его умный пылесос iLife A11 постоянно отправлял логи и телеметрические данные производителю. Когда он заблокировал отправку всей этой информации через свою сеть, производитель отправил «убивающий код», чтобы отключить устройство, фактически превратив его в «кирпич» удалённо. Немного покопавшись и проявив смекалку, ему удалось оживить и использовать своё устройство полностью локально, доказав, что роботу-пылесосу не нужно быть подключённым к облаку 24/7 для работы по назначению.

Многие пользователи покупают и устанавливают умные устройства Интернета вещей (IoT) в своих домах из-за удобства, которое они приносят. Но подобные инциденты показывают, насколько опасными они могут быть, когда энтузиасты случайно получают доступ к этим системам. Это поднимает несколько тревожных вопросов: исследователи безопасности указывают, что если обычные люди могут наткнуться на личные данные тысяч людей через эти гаджеты, то скоординированная атака может быть гораздо более разрушительной, чем предполагалось.

ИИ: Эта история — отличное напоминание о том, что «умные» устройства в нашем доме могут быть слабым звеном в безопасности. Производителям стоит уделять гораздо больше внимания защите данных «из коробки», а пользователям — задумываться о том, действительно ли их пылесосу нужен доступ в интернет. Локальное управление и открытые протоколы могли бы стать решением многих проблем приватности в 2026 году.