Инженер Сэмми Аздуфаль проявил интерес, который привел к значительному скандалу в области интернета вещей. Он решил исследовать протоколы связи пылесоса DJI Romo и взял на себя управление им с помощью джойстика от PlayStation 5. С помощью ИИ-помощника для программирования Claude Code от компании Anthropic, Аздуфаль создал собственное приложение и подключился к серверам производителя. В результате, вместо одного пылесоса, на связь вышло почти семь тысяч устройств из 20 стран. Инженер получил доступ к прямым видеотрансляциям с камер пылесосов, записям с микрофонов и подробным картам помещений.
Проблема оказалась до смешного простой. Сообщения MQTT, используемые компанией DJI, не имели контроля доступа на уровне тем. Уникальный токен устройства после аутентификации позволял просматривать трафик других роботов в незашифрованном формате. Однако в этой ситуации важно не только наличие уязвимости, но и способ ее выявления. Применение инструментов генеративного ИИ для декомпиляции мобильного приложения, анализа протоколов и создания собственного клиента значительно снижает порог сложности для проведения таких — и даже более сложных атак.
Ответ DJI на расследование Аздуфаля оказался неоднозначным. Пресс-секретарь Дейзи Конг сообщила об исправлении ошибки, но всего через полчаса исследователь показал, что тысячи устройств по всему миру продолжают передавать видео. Позже, 8 и 10 февраля, компания выпустила более детализированные заявления, признав проблему с проверкой разрешений на сервере и объявив о двух исправлениях. Тем не менее, по словам Аздуфаля, шифрование TLS защищает только канал связи, но не сами данные, а другие уязвимости, такие как обход PIN-кода камеры, остаются открытыми.
На этом фоне регулирующие органы пытаются ужесточить требования к производителям умной техники. Проблема заключается в том, что даже самые строгие законы сложно применить к компаниям, которые просто игнорируют запросы регуляторов из других стран. Пользователям остается полагаться только на свою бдительность. Эксперты рекомендуют выделять для устройств интернета вещей отдельную гостевую сеть, регулярно обновлять прошивки и отключать все неиспользуемые функции. Особенно стоит задуматься о необходимости камеры в пылесосе: современные лидарные системы прекрасно справляются с навигацией без видеосъемки.
