Инженер случайно нашел доступ к 7 тысячам роботов-пылесосов по всему миру

Энтузиаст обнаружил проблему при разработке приложения для себя.

Специалист по ИИ Сэмми Адуфал случайно нашёл брешь в защите роботов-пылесосов, когда создавал приложение для управления своим устройством через контроллер PlayStation. Ошибка позволяла получать планы помещений, доступ к камере и микрофону, а также удалённо управлять устройствами, пишет The Verge.

Используя Claude Code для анализа протокола связи, энтузиаст вместо доступа только к своему пылесосу получил возможность подключиться к примерно 6700 устройствам по всему миру. Адуфал подчеркнул, что не взламывал системы DJI, а просто получил приватный токен своего устройства, благодаря чему смог подключиться к серверам в США, Европе и Китае.

После обнаружения проблемы он уведомил компанию, и DJI выпустила обновления для устранения уязвимости без участия пользователей. Однако специалист отметил, что остаются нерешёнными возможность трансляции видео без PIN-кода и ещё одна серьёзная проблема, детали которой не раскрываются. По его словам, главная слабость не в шифровании связи, а в том, что данные на серверах хранятся в открытом виде и доступны любому, кто получит к ним доступ.