Владелец робота-пылесоса DJI Romo, программист Сэмми Аздуфал, в ходе собственного эксперимента наткнулся на критическую брешь в системе безопасности компании.
Как сообщает корреспондент сетевого издания «Белновости», она позволила ему получить удаленный доступ к тысячам устройств по всему миру.
О своей находке он рассказал изданию «The Verge».
Изначально Аздуфал преследовал вполне мирную цель: он хотел создать программное обеспечение, которое позволяло бы управлять его пылесосом с помощью геймпада от PlayStation 5.
Однако в процессе разработки он обнаружил, что серверы DJI не имеют должной защиты.
Программист смог проникнуть в систему и извлечь данные о примерно 6700 роботах-пылесосах, включая их серийные номера, пробег, а по IP-адресам определить примерное географическое положение устройств.
Учитывая, что вместе с зарядными станциями эксперимент затронул около 10 тысяч гаджетов, масштаб потенциальной угрозы оказался значительным.
Чтобы подтвердить серьезность проблемы, журналисты «The Verge» предоставили Аздуфалу серийный номер своего собственного пылесоса.
Программист мгновенно получил к нему полный удаленный доступ, продемонстрировав, что любой злоумышленник мог бы манипулировать устройствами, собирать личные данные или использовать их в своих целях.
Обнаружив уязвимость, Сэмми Аздуфал незамедлительно связался с представителями DJI и сообщил о найденной бреши.
Компания оперативно отреагировала и закрыла возможность несанкционированного доступа, защитив своих клиентов от потенциальных кибератак.
Этот случай в очередной раз напоминает о важности безопасности интернета вещей и о том, как любительский интерес может обернуться обнаружением серьезной системной ошибки.
Автор: Виталий Кистерный
