Специалист по кибербезопасности Сэмми Аздуфал обнаружил серьезную уязвимость в роботах-пылесосах популярного бренда. Проблема затрагивала модель Robo и позволяла посторонним лицам получать несанкционированный контроль над устройствами по всему миру.
В ходе экспериментов с техникой исследователь выяснил, что изъян в системе защиты дает возможность удаленно управлять целой сетью гаджетов. Речь шла почти о 7 тысячах аппаратов. Самым тревожным последствием этой ситуации был не просто несанкционированный запуск уборки, а вероятность получения доступа к видеотрансляции со встроенных камер.
Таким образом, под прямой угрозой оказывалась приватность владельцев, ведь эти устройства функционируют внутри их жилищ. Аздуфал поступил как ответственный исследователь, он не стал продавать информацию или использовать ее во вред. Вместо этого специалист оперативно связался с производителем и детально продемонстрировал метод обхода защиты.
За проделанную работу компания выплатила ему солидное вознаграждение, размер которого составил 30 тысяч долларов.
«Компания уже сотрудничает с сообществом «белых хакеров»», — подчеркнули в официальном блоге DJI.
Производитель не ограничился выплатой и оперативным исправлением кода. В компании уточнили, что проблема, позволявшая обходить PIN-код, была полностью устранена еще в конце февраля. Вскоре после инцидента DJI анонсировала масштабное обновление всей экосистемы Robo. Апдейт затронул не только программное обеспечение самих пылесосов, но и облачную инфраструктуру, что сделало систему гораздо более защищенной.
