Програміст випадково отримав доступ до прямих трансляцій з камер, аудіозаписів мікрофонів та даних про місцезнаходження майже 7000 роботів-пилососів DJI у 24 країнах. Цей інцидент висвітлив критичну вразливість у безпеці пристроїв, порушуючи питання про наслідки для конфіденційності все більш підключених технологій «розумного дому».
Випадковий Доступ, Глобальний Масштаб
Семмі Азджуфаль, намагаючись створити власну програму для віддаленого керування своїм роботом-пилососом DJI Roborock, виявив вразливість у бекенді, що надала йому доступ до вражаючої кількості інших пристроїв. Використовуючи AI-помічника для зворотної розробки зв’язку робота з хмарними серверами DJI, він натрапив на проблему з обліковими даними. Замість того, щоб обмежуватися лише своїм пилососом, сервери прийняли його за власника тисяч інших. Це означало, що він міг переглядати відеопотоки в реальному часі, активувати мікрофони, складати плани поверхів і визначати приблизне розташування IP-адрес.
** Мова не йде про зло; це про системний збій в аутентифікації. Уразливість оголила армію підключених до Інтернету роботів, які, потрапивши не в ті руки, могли б легко бути використані для стеження.
Реакція DJI та Більш Широкі Наслідки
DJI стверджує, що вирішила проблему за допомогою двох оновлень, випущених у лютому, заявивши, що жодних дій з боку користувачів не потрібно. Однак інцидент підкреслює тенденцію, що зростає: пристрої «розумного будинку» є привабливою метою для зловмисників. У міру того як домогосподарства впроваджують все більше роботів, включаючи передові моделі, подібні до людей, уразливості, ймовірно, буде складніше виявити.
Робот Romo, який продається за ціною близько 2000 доларів, покладається на постійне збирання даних — відеопотоки та детальні плани поверхів — для автономної роботи. Ці дані частково зберігаються на DJI серверах, створюючи централізовану точку відмови. Відкриття інженера демонструє, що ці системи часто надають пріоритету зручності, а не безпеці.
Більше Широкий Паттерн Проблем Конфіденційності
Вразливість DJI – не поодинокий випадок. Нещодавні суперечки, пов’язані з камерами Ring, дверними дзвінками Google Nest і геополітичними побоюваннями щодо китайських виробників технологій, що продовжуються, ілюструють ширшу тенденцію до ерозії конфіденційності в просторі «розумного будинку». Законодавці США попереджали про ризики безпеки, пов’язані з пристроями, виробленими Китаї, хоча конкретні докази залишаються туманними.
Реальність така, що багато пристроїв «розумного дому» мають історію сумнівних методів забезпечення безпеки, незважаючи на те, що вони працюють у особистих сферах нашого життя. Дослідження ринку показують, що споживачі не тільки впроваджують ці пристрої, а й активно шукають більше. До 2020 року понад 54 мільйони домогосподарств у США вже мали хоча б один встановлений пристрій «розумного дому».
Майбутнє Автоматизації Будинку
Компанії, такі як Tesla та Figure, прагнуть розробити повністю автономних роботів, схожих на людей, для домашнього використання. Ці машини вимагатимуть безпрецедентного доступу до інтимних деталей наших будинків для ефективної роботи. Це викликає моторошну перспективу: для зловмисників потенціал для експлуатації величезний.
Випадкове відкриття Азджуфаля є суворим нагадуванням про те, що прагнення впровадження технологій «розумного будинку» має бути врівноважене суворими заходами безпеки. Хоча він просто хотів керувати своїм роботом за допомогою джойстика, його досвід виявив фундаментальний недолік архітектури підключених пристроїв. У міру розвитку технологій межа між зручністю та стеженням продовжуватиме розмиватись, вимагаючи більшої пильності як від виробників, так і від споживачів.
