Индийский программист Сэмми Аздуфал заявил, что получил доступ к роботам-пылесосам DJI Romo и их камерам во время эксперимента с удаленным управлением через геймпад PlayStation 5. По его словам, при подключении приложения к серверам компании откликнулся не только его пылесос, но и около 7 тысяч остальных устройств по всему миру. Об этом сообщает издание The Verge.
Он утверждает, что мог управлять пылесосами, просматривать видеопотоки с камер, отслеживать построение карт помещений и определять примерное местоположение устройств по IP-адресам. Во время демонстрации были обнаружены тысячи устройств в десятках стран, от которых поступали служебные данные, включая серийные номера, маршруты уборки и уровень заряда.
Программист заявил, что не взламывал серверы напрямую, а использовал приватный токен своего устройства, после чего получил доступ к данным других пользователей. После уведомления компании доступ к устройствам был ограничен, а затем полностью закрыт.
В DJI сообщили, что уязвимость обнаружили в конце января и устранили двумя обновлениями в феврале. Передача данных между устройствами и серверами, по данным производителя, была защищена шифрованием TLS.
По словам исследователя, шифрование не решает все проблемы. Он считает, что даже с ним данные могут быть доступны другим авторизованным участникам системы при недостаточном разграничении прав доступа.
Ранее хакеры взломали смарт-кормушку кота сотрудника российской ИТ-компании.