Обнаруженная уязвимость устранена или…

Индийский программист Сэмми Аздуфал заявил, что получил доступ к роботам-пылесосам DJI Romo и их камерам во время эксперимента с удаленным управлением через геймпад PlayStation 5.

По его словам, при подключении приложения к серверам компании откликнулся не только его пылесос, но и около 7 тыс. остальных устройств по всему миру, сообщает издание The Verge.

Программист утверждает, что мог управлять пылесосами, просматривать видеопотоки с камер, отслеживать построение карт помещений и определять примерное местоположение устройств по IP-адресам.

Во время демонстрации были обнаружены тысячи устройств в десятках стран, от которых поступали служебные данные, включая серийные номера, маршруты уборки и уровень заряда.

Программист заявил, что не взламывал серверы напрямую, а использовал приватный токен своего устройства, после чего получил доступ к данным других пользователей. После уведомления компании доступ к устройствам был ограничен, а затем полностью закрыт.

В DJI сообщили, что уязвимость обнаружили в конце января и устранили двумя обновлениями в феврале. Передача данных между устройствами и серверами, по данным производителя, была защищена шифрованием TLS.

По словам исследователя, шифрование не решает все проблемы. Он считает, что даже с ним данные могут быть доступны другим авторизованным участникам системы при недостаточном разграничении прав доступа.

БР