Инженеры с помощью Claude проводят реверс-инжиниринг робота-пылесоса DJI Romo от DJI, случайно получая контроль над 7000 устройств по всему миру и доступ к домашней приватности. Также в Китае часто сообщают о утечках личных данных в AI-игрушках, что вызывает опасения по поводу безопасности.
Взлом безопасности робота-пылесоса DJI Romo от DJI
Просто хотел управлять роботом-пылесосом с помощью контроллера PS5, а случайно получил контроль над семью тысячами устройств по всему миру?
В феврале этого года инженер Самми Аздуфал рассказал изданию The Verge, что изначально он просто хотел попробовать управлять новым роботом-пылесосом DJI Romo с помощью геймпада PS5, а затем с помощью AI-ассистента Claude Code провести реверс-инжиниринг протокола связи между устройством и облачными серверами DJI.
Когда он создал собственное приложение и подключился к серверу, он обнаружил, что может управлять не только своим устройством, но и получил контроль над примерно 7000 роботов-пылесосов DJI по всему миру.
Аздуфал заявил, что он может дистанционно управлять этими роботами, просматривать и слушать через камеры в реальном времени, а также видеть, как они создают план этажей с точными формами и размерами каждого помещения.
Медиа подтвердили уязвимость, показав, что достаточно было знать серийный номер, чтобы получить доступ к домашней приватности
Чтобы проверить уязвимость DJI Romo, журналист из The Verge попросил коллегу Томаса Рикера предоставить 14-значный серийный номер робота-пылесоса DJI Romo. Аздуфал, лишь по этому номеру, смог найти их устройство в системе и точно определить, что оно убирает гостиную и что уровень заряда составляет 80%.
Источник: официальный сайт DJI
Всего за несколько минут этот робот, находящийся в другой стране, создал и отправил точную карту дома. Аздуфал продемонстрировал, что смог обойти систему безопасности и напрямую открыть потоковое изображение с камеры своего устройства.
Он подчеркнул, что он не взломал сервер DJI, а просто получил доступ к личным сертификатам устройства, после чего сервер передал ему данные тысяч других пользователей, и вся информация отображалась в открытом виде.
DJI признает проблему с аутентификацией и заявил, что она уже исправлена
DJI — крупная китайская компания, производитель беспилотных летательных аппаратов и технологий, выпускающая дроны, камеры и роботы-пылесосы, занимая долю рынка гражданских и коммерческих дронов от 70% до 83%.
Источник: официальный сайт DJI
В ответ на публичное раскрытие инцидента представитель компании Daisy Kong опубликовала заявление, в котором признала, что уязвимость связана с проблемой проверки прав доступа в протоколе связи между устройствами и серверами. Компания обнаружила этот уязвимость в конце января и в начале февраля дважды выпустила обновления для устранения проблемы.
DJI подчеркнула, что теоретически эта уязвимость могла позволить злоумышленникам получить несанкционированный доступ к видеопотоку робота, однако такие случаи крайне редки и в основном происходят при тестировании собственных устройств специалистами по безопасности. Также компания заявила, что все коммуникации шифруются с помощью TLS.
Тем не менее, исследователь безопасности Кевин Финестре отметил, что даже при шифровании передачи данных, если сервер не реализует должный контроль доступа, внутренние сотрудники или авторизованные клиенты все равно могут легко читать передаваемую информацию.
Опасения по поводу безопасности китайских AI-игрушек
Помимо роботов-пылесосов DJI, недавно зарубежные СМИ сообщили о проблемах с безопасностью и образовательным содержанием китайских AI-игрушек.
По информации Wired в конце января, исследователи Joseph Thacker и Joel Margolis обнаружили, что backend китайской компании по производству AI-игрушек Bondu недостаточно защищен, что привело к утечке более 50 тысяч записей личных данных и переписок детей.
Также NBC News указала, что китайская компания Miriat производит куклу Miiloo, которая внедряет у детей определённые политические взгляды, например, утверждая, что «Тайвань — часть Китая».
Американская организация по защите общественных интересов предупредила, что AI-игрушки лишены механизмов фильтрации контента, что вызвало обращение специального комитета Палаты представителей по вопросам Китая к Министерству образования с предупреждением о рисках для конфиденциальности данных и национальной безопасности.
Подробности по ссылке:
Вы всё ещё покупаете AI-игрушки? Bondu утекли данные 50 тысяч детей, а Miiloo пропагандирует: «Тайвань — часть Китая»
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
