Сами Аздуфал, софтверски инженер од Шпанија, со помош од алатката Claude Code со ВИ се обидел да ја прилагоди својата домашна роботска правосмукалка за да може да ја управува со џојстикот од конзолата за игри. Откако воспоставил контакт, забележал дека под своја команда има близу 7.000 апарати – сите што биле пријавени на серверите на DJI.
Според IP адресата можел да ја дознае приближната локација на секој робот. Ако ги следел доволно долго како ја мапираат секоја соба, можел да направи прецизен дводимензионален план на домот. Можел во живо да следи што снимаат нивните камери. Ги имал податоците за секој сериски број, колку време се активни, дури и моменталната состојба на батеријата.
Тој веднаш го пријавил упадот кај производителот на роботската правосмукалка DJI Romo, за да не биде обвинет дека е хакер што извршил злонамерен напад. Безбедносната дупка во софтверот по неколку дена била поправена, но инцидентот покрена сериозни прашања за вградената заштита на сите „смарт“ уреди.
Не прекршив никакви правила, не заобиколив, не пробив на сила што и да е, објаснува Аздуфал за The Verge.
Едноставно го извлекол приватниот токен на својот DJI Romo - клучот што им кажува на серверите на DJI да дадат пристап до сопствените податоци - и ги добил податоците на илјадници други корисници регистрирани на серверите за САД, Кина и ЕУ.
Аздуфал тврди дека дури и по софтверската интервенција на производителот, не се поправени сите ранливости. Една е можноста да се следи директен пренос од сопствениот робот без да се внесе безбедносен ПИН. Другата е „толку лоша што не сака да ја опише пред да биде поправена“. DJI објавил дека ќе го поправи дефектот во рок од неколку недели.
На тестирањето од The Verge, само 9 минути откако Аздуфал го вклучил системот, на неговиот лаптоп веќе се пријавиле 6.700 уреди на DJI од 24 земји во светот.
Со ништо повеќе од 14-цифрениот сериски број на уредот, Аздуфал не само што можеше да го активира нашиот робот, туку и да види дека ја чисти дневната соба и дека му остануваат 80% од батеријата. Роботот му пренесуваше точен план на куќата, со прецизна форма и големина на секоја соба, само со пишување неколку цифри во лаптоп лоциран во друга земја, пишува Шон Холистер од The Verge.
Ова не е изолиран инцидент со „паметни“ уреди за домаќинство. Пред две години хакери презедоа контрола врз роботските правосмукалки Ecovacs за да бркаат домашни миленици од забава и да извикуваат расистички навреди. Јужнокорејски агенции лани потврдија дека правосмукалката X50 Ultra на Dreame им овозможувала на хакери да следат директен пренос од камерата.
