Мужчина случайно получает контроль над 7 000 роботами-пылесосами.
Инженер-программист Сэмми Аздуфаль пытался управлять своим новым роботом-пылесосом DJI с помощью контроллера видеоигры и случайно получил возможность заглянуть в дома тысяч людей.
Создавая собственное приложение для дистанционного управления, Сэмми Аздуфаль, как сообщается, использовал помощника по программированию с искусственным интеллектом, чтобы помочь ему разобраться в том, как робот взаимодействует с удалёнными облачными серверами DJI. Но вскоре он обнаружил, что те же учётные данные, которые позволяли ему видеть и управлять своим собственным устройством, также предоставляли доступ к потоку данных с камер, аудиозаписям с микрофонов, картам и данным о состоянии почти 7 000 других пылесосов в 24 странах. Ошибка в системе безопасности бэкенда фактически раскрыла армию подключённых к интернету роботов, которые в чужих руках могли бы стать инструментами наблюдения, причём владельцы об этом даже не подозревали.
К счастью, Аздуфаль решил не использовать эту возможность. Вместо этого он поделился своими выводами с The Verge, которое быстро связалось с DJI, чтобы сообщить об ошибке. Хотя DJI утверждает, что проблема «решена», этот драматический эпизод подчёркивает предупреждения экспертов по кибербезопасности, которые давно предупреждают, что роботы, подключённые к интернету, и другие устройства «умного дома» представляют собой привлекательные цели для хакеров.
По мере того как всё больше домохозяйств приобретают домашних роботов (включая новые, более интерактивные гуманоидные модели), подобные уязвимости могут стать сложнее для обнаружения. Инструменты программирования на основе искусственного интеллекта, которые упрощают для людей с менее техническими знаниями использование программных ошибок, потенциально рискуют ещё больше усилить эти опасения.
**Наткнуться на огромную дыру в системе безопасности**
Речь идёт о роботе DJI Romo — автономном домашнем пылесосе, который впервые был выпущен в Китае в прошлом году и в настоящее время распространяется в других странах. Его розничная цена составляет около 2 000 долларов, а его размер сопоставим с крупным терьером или небольшим холодильником, когда он подключён к базовой станции. Как и другие роботы-пылесосы, он оснащён рядом датчиков, которые помогают ему ориентироваться в окружающей среде и обнаруживать препятствия. Пользователи могут планировать и управлять им через приложение, но он предназначен для того, чтобы большую часть времени заниматься уборкой и мытьём полов автономно.
Чтобы Romo или любой современный автономный пылесос функционировал, ему необходимо постоянно собирать визуальные данные из здания, в котором он работает. Ему также необходимо понимать конкретные детали о том, что отличает, скажем, кухню от спальни, чтобы он мог различать эти два помещения. Некоторые из этих данных датчиков хранятся удалённо на серверах DJI, а не на самом устройстве. Чтобы идея контроллера «сделай сам» Аздуфаля заработала, ему нужен был способ, чтобы его приложение могло взаимодействовать с серверами DJI и извлекать токен безопасности, подтверждающий, что он является владельцем робота.
Вместо того чтобы просто проверить один токен, серверы предоставили доступ для небольшой армии роботов, по сути, относясь к нему как к их владельцу. Эта ошибка означала, что Аздуфаль мог подключиться к потоку данных с их камер в режиме реального времени и активировать их микрофоны. Он также утверждает, что мог составить двухмерные планы этажей домов, в которых работали роботы. Быстрый просмотр IP-адресов роботов также показал их приблизительное местоположение. Ничто из этого, настаивает Аздуфаль, не является «взломом» с его стороны. Он просто наткнулся на серьёзную проблему с безопасностью.
«DJI выявила уязвимость, влияющую на DJI Home, путём внутреннего анализа в конце января и немедленно начала её устранение», — сообщили в DJI журналу Popular Science. «Проблема была решена с помощью двух обновлений: первоначальное исправление было развёрнуто 8 февраля, а последующее обновление завершено 10 февраля. Исправление было развёрнуто автоматически, и никаких действий пользователя не требуется».
Компания заявила, что планирует «продолжить реализацию дополнительных мер по повышению безопасности», но не уточнила, что именно они могут включать.
Владельцы домашних хозяйств борются с расходами на приватность в «умных домах».
Обеспокоенность DJI по поводу безопасности возникает на фоне растущего беспокойства по поводу возможностей наблюдения за технологиями «умного дома». Ранее в этом месяце владельцы камер Ring заполонили социальные сети после того, как спорная реклама функции поиска домашних животных компании была интерпретирована некоторыми как троянский конь для более широкого мониторинга. Примерно в то же время появились сообщения о том, что Google смог получить видеозапись с дверного звонка Nest для помощи в расследовании похищения (несмотря на более ранние указания на то, что запись была удалена), что возобновило дебаты о том, какой контроль потребители действительно имеют над своими конфиденциальными данными.
Помимо этого, законодатели от обеих политических партий в США годами предупреждали, что DJI и другие китайские технологические производители представляют собой уникальную угрозу безопасности. Доказательства этих утверждений туманны, но они, тем не менее, помогли оправдать запрет на некоторые товары китайского производства.
Ирония заключается в том, что роботы-пылесосы и другие устройства «умного дома» имеют долгую историю сомнительных практик в области безопасности, несмотря на то, что они работают в наших самых личных пространствах. Все признаки указывают на то, что средний человек скоро будет приветствовать в своих домах больше камер и микрофонов, а не меньше. По данным исследовательской компании Parks Associates за 2020 год, в 54 миллионах американских домохозяйств установлено по крайней мере одно устройство «умного дома». Другие опросы показывают, что те, у кого оно уже есть, часто хотят большего.
Конкретные типы устройств, поступающих в дома, также становятся всё более сложными. Хотя пока ещё рано, Tesla, Figure и другие компании стремятся создать человекоподобных автономных роботов, которые могут жить в доме и выполнять работу по дому. Компания под названием 1X уже продаёт одного из таких гуманоидов, утверждая, что он может мыть посуду и колоть грецкие орехи — хотя зачастую с некоторой помощью человека. В конце концов, для того чтобы любой из этих домашних роботов-слуг функционировал эффективно, им потребуется беспрецедентный доступ к интимным деталям домов их владельцев. Для сталкера или хакера это представляет собой потенциальную золотую жилу. Правда, Аздуфаль оказался втянутым в эту неразбериху, хотя всё, что он хотел сделать, — это управлять своим роботом с помощью джойстика. На этом фронте миссия выполнена.