Хакер против робота: разработчик получил 2,3 млн рублей за найденную уязвимость в пылесосах DJI
Крупный производитель электроники DJI выплатит около $30 тыс. (примерно 2,37 млн рублей) исследователю информационной безопасности Сэмми Аздуфалу, обнаружившему серьезную уязвимость в роботах-пылесосах серии Romo. Ошибка в системе позволяла получать доступ к сети тысяч устройств и даже просматривать видеопотоки из домов пользователей. Об этом сообщает The Verge.
Неожиданный эксперимент
По словам Аздуфала, обнаружение уязвимости произошло практически случайно. Исследователь пытался подключить свой робот-пылесос к геймпаду PlayStation, чтобы экспериментально управлять устройством вручную. Во время настройки он заметил аномалии в системе соединения.
Дальнейший анализ показал, что через сетевые настройки можно получить доступ к удалённым устройствам той же серии. В результате исследователь обнаружил сеть примерно из 7 тысяч роботов-пылесосов, которыми потенциально можно было управлять дистанционно.
Самой тревожной частью проблемы стала возможность получения видеопотока с камер устройств. Некоторые модели роботизированных пылесосов оснащены камерами и датчиками для навигации по квартире. Из-за уязвимости злоумышленник мог подключиться к устройству без ввода защитного PIN-кода, что открывало доступ к изображениям из домов пользователей.
Потенциальная угроза для владельцев
Эксперты отмечают, что подобные уязвимости особенно опасны в устройствах «умного дома». Роботы-пылесосы постоянно перемещаются по квартире, фиксируя планировку помещений и иногда транслируя видео для удалённого управления.
В случае эксплуатации такой ошибки злоумышленник мог бы:
- получать видеоданные из жилых помещений;
- отслеживать распорядок дня владельцев;
- вмешиваться в работу устройства;
- использовать сеть взломанных устройств для дальнейших атак.
Хотя Аздуфал не предпринимал попыток воспользоваться уязвимостью, сама возможность доступа к тысячам устройств продемонстрировала масштаб потенциальной проблемы.
Реакция компании
Компания DJI подтвердила факт выплаты вознаграждения исследователю, однако не уточнила, какая именно из обнаруженных уязвимостей стала основанием для выплаты. Представители производителя заявили, что проблема с доступом к видеопотоку без ввода PIN-кода была устранена к концу февраля.
Кроме того, компания начала масштабное обновление программного обеспечения всей системы Romo. По словам разработчиков, процесс обновления может занять около месяца и затронет все подключенные устройства.
В отдельной публикации в корпоративном блоге DJI подчеркнула, что основная проблема была выявлена внутренними специалистами компании, однако независимые исследователи также помогли обнаружить дополнительные уязвимости.
Программа поощрения исследователей
Случай с Аздуфалом стал очередным примером работы так называемой bug bounty-программы — системы вознаграждений для специалистов по кибербезопасности, которые находят ошибки в программном обеспечении и сообщают о них разработчикам.
Такие программы позволяют компаниям:
- быстрее выявлять уязвимости;
- снижать риск масштабных взломов;
- привлекать независимых экспертов.
DJI заявила, что планирует расширять сотрудничество с исследовательским сообществом, а также проводить независимые аудиты безопасности своей техники.
Умный дом и растущие риски
Инцидент вновь поднял вопрос о безопасности устройств «умного дома». По мере того как бытовая техника получает камеры, интернет-подключение и удалённое управление, растёт и количество потенциальных точек для кибератак.
По оценкам специалистов, в ближайшие годы рынок домашних роботов будет только расширяться — от пылесосов и газонокосилок до домашних дронов и систем видеонаблюдения. Это делает вопрос кибербезопасности не только техническим, но и социальным.
История с пылесосами Romo показывает, что даже обычное бытовое устройство может оказаться частью большой сетевой инфраструктуры — и одновременно потенциальной уязвимостью.
Что делать пользователям
Эксперты советуют владельцам «умной» техники соблюдать базовые меры цифровой безопасности:
- регулярно обновлять программное обеспечение устройств;
- использовать сложные PIN-коды и пароли;
- отключать удалённый доступ, если он не используется;
- следить за уведомлениями производителя о новых обновлениях безопасности.
В DJI заверили, что продолжают работу над усилением защиты своих устройств и намерены регулярно выпускать обновления.
Впрочем, история с «взломанными» роботами-пылесосами ещё раз напомнила: чем умнее становится техника, тем внимательнее приходится относиться к её безопасности.
Ранее журналисты сайта «Пронедра» писали, что биохакер Брайан Джонсон предлагает пить кофе, чтобы замедлить старение
