Критическое нарушение серверов DJI привело к раскрытию камер домашних роботов и предупредило экспертов по конфиденциальности
Серьезная уязвимость, обнаруженная в облачной инфраструктуре DJI, мирового гиганта в секторе дронов и робототехники, поставила под угрозу конфиденциальность тысяч домов по всему миру. Нарушение безопасности позволило неавторизованным третьим лицам получить удаленный доступ к видеопотокам, аудио и навигационным данным домашних роботов бренда, таких как модель RoboMaster. Инцидент, обнаживший хрупкость систем аутентификации в устройствах Интернета вещей (IoT), был исправлен компанией в феврале 2026 года, но вызвал бурные дебаты о защите биометрических и пространственных данных, собираемых интеллектуальным оборудованием.
Проблему случайно обнаружил исследователь безопасности, известный под псевдонимом Аздуфал. В ходе аппаратных интеграционных тестов специалист заметил аномалии в трафике данных между роботом и серверами производителя. Расследование показало, что система проверки токенов доступа неправильно проверяла владение устройством, позволяя любому пользователю с действительными учетными данными перехватывать сообщения от другого оборудования, подключенного к той же глобальной сети.
Эксперты по кибербезопасности классифицировали ошибку как критический недостаток контроля доступа. Взлом устранил цифровые барьеры между пользователями, превратив облако компании в открытый репозиторий для всех, кто знал, как воспользоваться уязвимостью. С помощью исправления, примененного к серверам, компания добилась блокировки несанкционированного доступа, однако этот эпизод служит предупреждением о необходимости более строгих протоколов в отечественной технологической отрасли.
Дело привлекло международное внимание из-за деликатного характера раскрытой информации. В отличие от утечки регистрационных данных, этот инцидент включал мониторинг внутренней части домов в режиме реального времени, включая частные разговоры и детальное картографирование комнат, что могло облегчить физические или цифровые преступные действия против владельцев затронутых устройств.
Случайное открытие выявило системный недостаток
Процесс, который привел к выявлению уязвимости, начался, когда исследователь Аздуфал попытался подключить контроллер PlayStation 5 к своему роботу DJI. Анализируя журналы связи, чтобы понять, как устройство реагирует на команды, он заметил, что система генерирует токен сеанса для аутентификации подключения к облаку. Техническое любопытство побудило его проверить пределы этого токена, выявив тревожный сценарий для информационной безопасности.
Манипулируя запросами, отправляемыми на сервер, исследователь обнаружил, что инфраструктура DJI не связывает токен доступа исключительно с серийным номером устройства пользователя. На практике это означало, что, оказавшись внутри системы, можно было запросить данные у любого другого робота, подключенного к сети, без блокировки действия сервером из-за отсутствия разрешения. Отсутствие перекрестной проверки считается основной ошибкой в архитектуре сетевой безопасности.
Эксплуатация уязвимости позволила исследователю перехватить потоки данных от тысяч устройств, разбросанных по нескольким странам. Перехваченный трафик включал не только техническую телеметрию, но и мультимедийные файлы, которые передавались или хранились в облаке. Легкость, с которой система была скомпрометирована, продемонстрировала, что уровни защиты, реализованные производителем, были недостаточными для сдерживания целенаправленной атаки или даже любопытного эксплойта.
Протокол MQTT, широко используемый в устройствах Интернета вещей для облегчения и быстрой связи, был вектором, использованным в исследовании. Хотя сам протокол при правильной настройке является безопасным, его реализация на серверах компании не позволила разделить потоки сообщений каждого пользователя. Это создало среду, в которой личные сообщения с одного устройства могли быть прочитаны другими, что нарушает принцип конфиденциальности, который должен регулировать облачные сервисы.
Влияние на конфиденциальность и конфиденциальные данные
Серьезность инцидента связана с типом данных, которые собирают и обрабатывают роботы DJI. Эти устройства, оснащенные камерами высокого разрешения, микрофонами и датчиками LiDAR (обнаружение света и определение дальности), действуют как глаза и уши внутри домов пользователей. Несанкционированный доступ к этим датчикам позволял наблюдать за домашними делами, подслушивать конфиденциальные разговоры и получать точные планы этажей домов.
Карты, созданные датчиками LiDAR, особенно ценны и опасны в чужих руках. Они создают трехмерное представление окружающей среды, детализируя расстановку мебели, расположение дверей и окон и даже наличие ценных предметов. Преступники могут использовать эту информацию для планирования физических вторжений с беспрецедентным уровнем детализации, заранее зная расположение собственности и слепые зоны безопасности.
Помимо физического риска, раскрытие изображений и аудио представляет собой прямое нарушение конфиденциальности. В сценарии, когда удаленная работа и цифровая жизнь интегрированы в домашнюю среду, возможность передачи рабочих встреч, семейных моментов или интимных ситуаций третьим лицам наносит непоправимый ущерб доверию потребителей. Неудача выявила хрупкость обещаний конфиденциальности, сопровождающих продажу интеллектуальных устройств.
Leia Também
Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4
Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.
Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time
Географический масштаб проблемы также является тревожным фактором. Анализ перехваченного трафика показал, что уязвимы были устройства в Северной Америке, Европе и Азии. Это указывает на то, что уязвимость не ограничивалась конкретным региональным сервером, а присутствовала в базовой архитектуре глобальной платформы DJI, затрагивая пользователей независимо от их местоположения или законов о защите данных, действующих в их странах.
Ответ компании и обновление безопасности
После ответственного уведомления, сделанного исследователем, DJI инициировала внутренний аудит для проверки степени уязвимости. Компания подтвердила наличие ошибки в конфигурации брокера MQTT и мобилизовала свои инженерные команды для разработки срочного решения. Процесс устранения последствий осуществлялся непосредственно на серверах, что устраняло необходимость обновления прошивки конечными пользователями.
Исправление было реализовано в два основных этапа в начале февраля 2026 года. Первый шаг включал изменение правил контроля доступа, гарантируя, что каждый токен сеанса будет строго привязан к идентификатору устройства и учетной записи пользователя-владельца. Второй этап состоял из тестирования на проникновение, чтобы гарантировать, что новая конфигурация будет противостоять аналогичным попыткам эксплуатации, закрывая дверь для бокового доступа между учетными записями.
DJI опубликовала заявление, в котором признала наличие проблемы и классифицировала ее как риск с серьезными последствиями. Компания заявила, что нет никаких доказательств того, что уязвимость была использована злоумышленниками до того, как ее обнаружил исследователь, но молчаливый характер этого типа уязвимостей затрудняет гарантию отсутствия несанкционированного доступа в прошлом. Прозрачность в общении рассматривалась как необходимый шаг в попытке восстановить доверие со стороны клиентов.
В качестве дополнительной превентивной меры производитель объявил, что пересмотрит свои протоколы безопасной разработки (SDLC). Цель — интегрировать более строгие проверки безопасности на все этапы создания программного обеспечения и облачных сервисов, предотвращая попадание ошибок в логике аутентификации в производственные среды. Компания также усилила свою программу вознаграждения за обнаружение ошибок, поощряя сообщество безопасности сообщать об ошибках этично.
Проблемы безопасности в устройствах Интернета вещей
Инцидент с роботом DJI иллюстрирует системную проблему в индустрии Интернета вещей. Ожидается, что в ближайшие годы в домах появятся миллионы новых интеллектуальных устройств, а поверхность атак киберпреступников продолжает расширяться. Стремление к быстрым выпускам и инновационным функциям часто заставляет производителей пренебрегать фундаментальными аспектами безопасности, такими как сегрегация данных и надежная аутентификация.
Зависимость от облака для запуска этих устройств создает единую точку отказа. Когда интеллектуальные данные об оборудовании находятся на удаленных серверах, а не на самом оборудовании, уязвимость в инфраструктуре производителя мгновенно ставит под угрозу всю базу пользователей. Эта централизованная модель, хотя и эффективна для обновлений и обработки больших объемов данных, требует такого уровня кибербезопасности, которого многие компании все еще пытаются достичь.
Для потребителей этот эпизод служит напоминанием о важности внедрения практики глубокоэшелонированной защиты. Рекомендуемой мерой является сегментирование домашней сети, создание эксклюзивного Wi-Fi для интеллектуальных устройств, отдельного от сети, по которой перемещаются компьютеры и мобильные телефоны с банковскими реквизитами. Кроме того, обновление прошивки оборудования и периодическая проверка разрешений на конфиденциальность являются важными привычками в эпоху цифровых технологий.
Такие правила, как LGPD в Бразилии и GDPR в Европе, продолжают требовать от компаний большей ответственности при обработке данных. Подобные инциденты могут привести к тяжелым санкциям и нанесению ущерба корпоративной репутации, вынуждая рынок принять концепцию «Безопасность по дизайну», где безопасность рассматривается с точки зрения концепции продукта, а не просто как последующая коррекция. Защита подключенного дома больше не является отличительной чертой, а стала обязательным требованием для выживания на рынке технологий.
