Испанский инженер случайно «захватил» 7000 роботов-пылесосов DJI, снова обнаружены уязвимости в безопасности умной бытовой техники

Умные домашние устройства приносят удобство в жизнь, но одновременно могут открыть дверь к кибербезопасности. Недавно испанский программист случайно обнаружил, что он может дистанционно управлять около 7000 роботов-пылесосов по всему миру, а также просматривать видеопотоки и собирать大量 данных устройств. С учетом того, что рынок умного дома, по прогнозам, достигнет 139 миллиардов долларов к 2032 году, быстрый рост отрасли вызывает вопрос: успевают ли системы безопасности за инновациями, и насколько это критично.

Попытка модифицировать пылесос и случайное обнаружение уязвимости

По сообщению технологического СМИ «The Verge», инцидент произошел благодаря эксперименту испанского инженера Sammy Azdoufal. Он изначально хотел провести реверс-инжиниринг своего нового робота-пылесоса DJI Romo, чтобы управлять им через контроллер PlayStation 5.

Однако после установления соединения между его собственным приложением для удаленного управления и серверами DJI ситуация вышла из-под контроля: не только один робот откликнулся, а около 7000 устройств по всему миру одновременно «приняли его за хозяина».

Azdoufal обнаружил, что он может не только просматривать изображение с камеры устройства и слушать звук, но и собирать более 100 000 сообщений с разных устройств. Еще более удивительно, что он мог определить приблизительное местоположение устройств по их IP-адресам.

Это означает, что при наличии одинаковых учетных данных можно масштабно получить контроль над чужими устройствами.

Ответ DJI: уязвимость устранена, Azdoufal опасается судебных преследований

Важно отметить, что Azdoufal заявил, что не имел злого умысла и не пытался взломать чужие устройства. Он сам связался с компанией и сообщил о найденной уязвимости, надеясь, что проблему исправят.

DJI подтвердили, что проблема уже решена, и в социальной сети X публично поблагодарили Azdoufal за сообщение.

DJI заявил: «Ваш ответственный отзыв очень ценен для нас.»

Azdoufal также в шутку ответил в X, назвав себя «человеком-пылесосом», и пошутил, что многие предлагали ему бесплатно прислать робота-пылесоса.

Тем не менее, из-за широкой освещенности в СМИ, Azdoufal опасается, что DJI может найти повод подать на него в суд.

Эксперты по кибербезопасности предупреждают: безопасность умных устройств часто игнорируется

На самом деле, это не единичный случай. Профессор компьютерных наук Университета Сарри, Alan Woodward, отметил, что многие производители умных устройств в начале разработки ставят приоритет на «инновации» и «выход на рынок», а безопасность оставляют на потом.

Woodward говорит, что отрасль часто действует по принципу «быстрее, лучше, дешевле», стремясь выпускать более дешевые и функциональные продукты, но уже на ранних этапах разработки становится ясно, что игнорирование вопросов безопасности ведет к уязвимостям и рискам.

Он подчеркнул, что проблема безопасности умных устройств не сводится к ошибкам отдельного программного компонента, а связана с общей архитектурой системы, включая:

• взаимодействие программного обеспечения устройства с облачными серверами

• соединение серверов с мобильными приложениями

• механизмы аутентификации и изоляции пользователей

Если в одном из этих элементов есть дефект, это создает цепочку рисков.

Взрыв рынка умного дома и рост угроз

По данным аналитической компании MarketsandMarkets, глобальный рынок умных домов к 2032 году достигнет 139 миллиардов долларов. Устройства — от умных ламп, дверных замков, камер видеонаблюдения, детских мониторов до систем отопления — быстро проникают в повседневную жизнь.

Однако исследование журнала «Journal of Information Security and Applications» показывает, что хакеры уже успешно взламывали:

• системы освещения

• электронные дверные замки

• системы видеонаблюдения

• детские мониторы

• системы отопления

Инцидент с роботами-пылесосами — лишь один из примеров. Чем больше устройств подключено к сети, тем больше потенциальных точек атаки.

Причина уязвимостей: недостаточные настройки по умолчанию и слабая изоляция прав

В случае с пылесосами Azdoufal смог получить контроль над другими устройствами, потому что его собственное устройство имело доступ к другим роботам по тем же учетным данным.

Woodward советует компаниям требовать от пользователей устанавливать уникальные пароли при первом запуске, а не использовать стандартные или легко выводимые из данных учетных записей. Также разработчики должны полностью понимать, как система может быть взломана, а не сосредотачиваться только на отдельных модулях.

Он подчеркивает, что безопасность — это не только часть программирования, а часть культуры разработки продукта в целом.

Повышенная бдительность потребителей

Помимо ответственности компаний, потребители должны быть осторожны и оценивать риски конфиденциальности при использовании умных устройств.

Woodward говорит: «Если что-то можно сделать, это не значит, что нужно делать.»

Умные бытовые приборы действительно делают жизнь удобнее, но наличие камер, микрофонов и геолокации в устройствах создает риски злоупотреблений, последствия которых могут быть гораздо серьезнее, чем кажется.

Эта статья: Испанский инженер случайно «захватил» 7000 роботов DJI, уязвимости в безопасности умных устройств снова на повестке дня. Опубликована на сайте ABMedia.