Преступники могут следить за вашим домом через «умный» пылесос 0 275

Испанский программист Сэмми Аздуфаль, пытаясь подключить к своему роботу-пылесосу игровой контроллер, неожиданно получил доступ к почти семи тысячам таких же устройств в 24 странах. Историю описало издание Popular Science.

Речь идет о модели DJI Romo - автономном роботе-пылесосе, который сошел с конвейера в Китае в прошлом году и постепенно появляется в продаже по всему миру. Устройство стоит около двух тысяч долларов, оснащено камерами, микрофонами и системой навигации и может выстраивать карту квартиры.

Аздуфаль не рядовой разработчик, он руководит отделом пропаганды цифровых технологий и искусственного интеллекта в компании Clinitex. Сэмми хотел создать свое приложение для удаленного управления пылесосом через геймпад PS5. Для этого он с помощью ИИ-ассистента проанализировал, как устройство взаимодействует с облачными серверами компании-производителя DJI, и попытался получить токен доступа - цифровой ключ, подтверждающий право владельца управлять техникой.

Однако вместо проверки одного устройства серверы по ошибке предоставили ему права администратора для тысяч других роботов.

Он смог видеть прямую трансляцию с камер пылесосов, получать доступ к аудио с их микрофонов, просматривать карты помещений. IP-адреса позволяли определить примерное местоположение домов.

В DJI заявили, что выявили уязвимость в конце января и устранили ее с помощью двух автоматических обновлений, выпущенных в начале февраля.

Эта история вновь напомнила об опасности, которую могут представлять устройства «умного дома». Роботы-пылесосы, камеры наблюдения и дверные звонки с видеосвязью собирают данные в самых приватных частях жилищ. Чаще всего, информация хранится на облачных серверах, к которым есть удаленный доступ.

• История с роботом-пылесосом показательна, потому что высвечивает масштаб уязвимости глобальных систем. Один некорректно настроенный механизм авторизации - и пользователь фактически становится администратором целой армии пылесосов по всему миру, - отмечает специалист в области информационной безопасности Станислав Чепанин. - Производители бытовой техники ориентированы на скорость выпуска товаров и разнообразии функций, а не на построении надежной архитектуры безопасности. Многие руководствуются правилом: «Сначала удобство, затем защита». При этом устройства работают круглосуточно, часто имеют избыточные права доступа и сохраняют данные в облаке дольше, чем это действительно необходимо.

Камеры, датчики движения, микрофоны, умные замки, роботизированная техника собирают мегабайты сведений о каждом из нас.

• Доступ посторонних к этим данным - мощный инструмент давления на владельцев квартир и домов, их шантажа, ограблений. Спецслужбам, в том числе иностранным, интернет вещей тоже упрощает жизнь, - добавляет Чепанин.

В 2024 году неизвестные взломали пылесосы компании Ecovacs и запрограммировали их на трансляцию расистских оскорблений. Год назад были взломаны роботы-пылесосы бренда Dreame. Тогда хакеры получили доступ к видеокамерам.

Аналогичные истории случались с «умными звонками» Ring camera. Хакеру удалось взломать камеру, которая была установлена в комнате 8-летней американки в штате Теннеси. Мужчина троллил девочку, отпускал расистские оскорбления и включал музыку. К счастью, мать малышки быстро отключила гаджет.