Программист Сэмми Аздуфал преследовал простую цель – подключить свой новый роботизированный пылесос DJI Romo к геймпаду от PS5, чтобы управлять техникой, словно это игрушечная машинка. Вместо этого он неожиданно получил доступ к более чем 7000 роботов-пылесосов по всему миру, включая видеопотоки с их камер и планировки квартир их ничего не подозревающих владельцев из двух десятков стран.
Всё началось с того, что Аздуфал указал Claude Code проанализировать трафик между его пылесосом и серверами производителя. Ответом стал токен безопасности – но не только для его конкретного гаджета. Токен обеспечил доступ ко всем DJI Romo на планете разом, обнажив критическую уязвимость в инфраструктуре компании.
Каждые три секунды приложение, собранное с помощью ИИ, получало серийные номера тысяч роботов, докладывавших домашней базе о маршрутах уборки, уровне заряда и встреченных препятствиях.
Аздуфал мог активировать встроенные камеры и микрофоны любого из них. Используя записанные пространственные данные, он мог восстановить двухмерные планировки чужих домов, а по IP-адресам – приблизительно определить местоположение каждого пылесоса.
Таким образом, желание поиграть с геймпадом обернулось случайным созданием глобальной системы слежки.
После того как Аздуфал сообщил о проблеме DJI и изданию The Verge, компания оперативно выпустила патч. Представитель DJI признал, что «ошибка валидации прав на бэкенде в MQTT-коммуникации между девайсом и сервером» открывала «теоретическую возможность несанкционированного доступа к прямой видеотрансляции с устройства ROMO». Патч вышел в течение нескольких дней.
Вместе с тем Аздуфал отметил, что часть обнаруженных уязвимостей до сих пор не устранена. DJI пообещала разобраться с оставшимися проблемами «в течение нескольких недель». Параллельно пользователи задаются резонным вопросом – зачем вообще пылесосу встроенный микрофон?
Что касается Аздуфала – управление пылесосом через геймпад он всё-таки наладил.
