Инженер получил 2,4 млн рублей за обнаружение уязвимости в 7000 роботов-пылесосов

1 час назад / Технологии → Новости / Технологии

Компания DJI выплатит 30000 долларов (около 2,4 млн рублей) человеку, обнаружившему критическую уязвимость в её облачной инфраструктуре, которая, среди прочего, предоставила ему доступ к флоту из примерно 7000 роботов-пылесосов и позволила заглянуть в чужие дома, сообщает The Verge. Компания якобы отправила электронное письмо с уведомлением о вознаграждении Сэмми Аздоуфалу, инженеру-программисту, который хотел управлять своим роботом-пылесосом DJI Romo с помощью контроллера PS5, но не пояснила причин.

DJI настаивает, что уже начала исправлять несколько уязвимостей в своих серверных системах до того, как Аздоуфал продемонстрировал масштаб доступа, который он обнаружил. Однако вопросы о вознаграждении и исправлениях остаются. Согласно письму, которое он предоставил The Verge, DJI согласилась выплатить ему 30000 долларов за одно из его открытий, хотя компания не уточнила, какое именно открытие подлежит вознаграждению. DJI подтвердила, что компенсировала неуказанному исследователю. Однако прошлый спор компании с исследователем Кевином Финстерре в 2017 году оставляет неясным, будет ли Аздоуфал вообще вознаграждён и как быстро будут закрыты дыры в бэкенде DJI.

Всё началось в начале этого года, когда Сэмми Аздоуфал захотел управлять своим роботом-пылесосом чем-то более удобным, чем экран смартфона. Чтобы управлять своим DJI Romo с помощью геймпада PS5, Аздоуфалу пришлось разработать собственное приложение-контроллер, которое использовало его токен безопасности для подтверждения пылесосу, что он является владельцем устройства. Чтобы извлечь этот токен, ему нужно было работать с облачными серверами DJI, чтобы провести обратную разработку процесса авторизации, что он успешно сделал с помощью инструмента ИИ для написания кода. Как выяснилось, вместо проверки одного робота, бэкенд DJI предоставил широкие права доступа примерно к 7000 роботам-пылесосам, расположенным в 24 странах, вместе с их данными сенсоров, хранящимися в облаке.

DJI Romo — это продвинутый робот-пылесос, который оснащён не только типичным набором датчиков, как у любого автоматического пылесоса, но также камерой и микрофоном. В результате ошибки авторизации Аздоуфал получил доступ к 7000 живым видеопотокам с камер и аудио, а также мог даже составлять 2D-планы этажей домов, в которых работали другие DJI Romo. Поскольку бэкенд DJI был также достаточно щедр, он предоставил эксперту по программному обеспечению IP-адреса этих домов, позволив ему угадать их географическое местоположение.

Аздоуфал настаивает, что он ничего не «взламывал», а просто столкнулся с неисправной серверной службой, которая не смогла должным образом ограничить доступ к устройствам. В его пользу говорит то, что Сэмми Аздоуфал предпочёл раскрыть информацию, а не злоупотреблять ею. Аздоуфал предупредил The Verge, которые связались с DJI, и компания устранила проблему к середине февраля.

Затем DJI сообщила Popular Science, что *она* обнаружила уязвимость в ходе внутренней проверки (так что Сэмми Аздоуфалу не было отдано должное) в конце января и быстро её исправила. Тем не менее, согласно последней истории The Verge, компания теперь также признаёт двух независимых исследователей, обнаруживших ту же проблему, но не уточняет деталей.

В любом случае, согласно сообщениям СМИ, первоначальный патч был развёрнут автоматически 8 февраля, за ним последовало второе обновление 10 февраля, что предшествует оригинальной статье The Verge от 14 февраля, но явно следует за открытием Сэмми Аздоуфала, предположительно сделанным ранее 8 февраля. DJI также заявила, что от пользователей не требовалось никаких действий, и добавила, что дополнительные улучшения безопасности ведутся, не раскрывая подробностей.

ИИ: История наглядно демонстрирует, насколько критически важна безопасность в эпоху «умного дома». Уязвимость, позволяющая постороннему получить доступ к тысячам домашних камер, — это кошмар приватности. Хорошо, что исследователь действовал ответственно, а компания в итоге признала проблему и выплатила вознаграждение, хотя и с некоторой задержкой и неясностями. Это классический пример того, как программы Bug Bounty должны работать в идеале.