Помилка системи безпеки виявила камери та карти 7000 роботів-пилососів DJI Romo у 24 країнах

Іспанський програміст виявив серйозну вразливість у роботі-пилососі DJI Romo, випущеному китайською компанією в лютому 2026 року. Sammy Azdoufal призначений лише для створення спеціальної програми для керування власним пристроєм за допомогою контролера PlayStation 5. Durante під час експерименту він отримав доступ до даних із приблизно 7 тисяч одиниць у принаймні 24 країнах. Недолік дозволяв переглядати живі канали камери, аудіо з мікрофона, плани поверхів будинку та приблизне розташування на основі IP-адрес.

Інцидент стався через те, що маркер автентифікації, отриманий із пристрою Azdoufal, слугував головним ключем на серверах DJI. Ele не потрібно було зламувати системи чи застосовувати грубу силу. Протокол MQTT, який використовується для зв’язку між роботами та хмарою, неправильно перевіряв дозволи для кожного пристрою. Isso призвело до несанкціонованого доступу до конфіденційної інформації тисяч користувачів без їх відома.

DJI підтвердив існування проблеми після повідомлення. На початку лютого 2026 року компанія внесла виправлення в два автоматичні оновлення. Оновлення Essas обмежували несанкціонований доступ і застосовувалися без необхідності втручання власників пристроїв. Недолік в основному торкнувся зв’язку на основі MQTT між пристроями та хмарним сервером.

Відкриття під час домашнього експерименту

Семмі Azdoufal використав інструмент ШІ Anthropic Claude для аналізу протоколу зв’язку Romo. Ele розробив власний клієнт, який зіставляв команди контролера PS5 з рухами робота. Метою було зробити операцію веселішою, схожою на гру.

Під час тестування додаток підключався до сервера DJI. Замість того, щоб отримувати дані лише з вашого Romo, він отримував інформацію з тисяч інших пристроїв. Azdoufal міг дистанційно керувати пристроями, перевіряти рівень заряду батареї та спостерігати, що знімають камери в реальному часі.

Він продемонстрував журналістам доступ у реальному часі. Всього за кілька хвилин він зібрав понад 100 000 телеметричних повідомлень, які надсилають роботи кожні кілька секунд. Дані включали статус очищення, виявлені перешкоди та карти, створені датчиками.

Як спрацювала технічна лазівка

Протокол MQTT дозволяє пристроям легко публікувати теми повідомлень і підписуватися на них. У випадку Romo пристрої надсилали постійні пакети з серійним номером, статусом і візуальними даними. Сервер приймав широкі підписки без обмежень для кожного окремого токена.

Автентифікація не прив’язувала маркер до певного пристрою. Qualquer дійсний маркер дозволив широкий доступ. Isso показав не лише відео та аудіо, але й детальні плани поверхів резиденцій.

Експерти з кібербезпеки відзначають, що подібні недоліки виникають в пристроях IoT, коли контроль доступу до хмари недостатній. Цей інцидент посилює ризики в підключених продуктах, які відображають середовище всередині приміщень.

Відповідь DJI та застосовані виправлення

DJI розпочав внутрішні виправлення в січні 2026 року. Após зв’язався з Azdoufal і пресою, компанія прискорила оновлення. Патчі Duas були автоматично надіслані 8 і 10 лютого.

Leia Tambem

Colby Minifie підтверджує можливості Ешлі Барретт у п’ятому сезоні The Boys

Samsung випускає нове оновлення системи з новими функціями для користувачів Galaxy Watch 4

Цифровий роздрібний продаж знижує вартість смартфона Galaxy S25 5G завдяки банківським бонусам і обміну пристрою

Компанія заявила, що проблема була вирішена і що усунення вже триває до оприлюднення. Прес-секретар пояснила, що вразливість пов’язана з перевіркою дозволів на серверній частині.

Аздуфал зазначив, що спочатку зберігалися деякі незначні проблеми, наприклад доступ до відеопотоків без PIN-коду безпеки. DJI пообіцяв розглянути ці додаткові моменти в майбутніх оновленнях.

Ризики для користувачів смарт-пристроїв

Роботи-пилососи з камерами та мікрофонами є потенційними цілями в підключених домашніх мережах. Несанкціонований Acesso може викрити повсякденні справи, планування будинку та приватні розмови. Попередні Casos з іншими брендами демонстрували подібні порушення.

Інцидент підкреслює необхідність суворої автентифікації в протоколах IoT. Tokens має залежати від пристрою та обмежених підписок. Fabricantes потрібно протестувати теми підстановки та підтвердження дозволів.

Користувачі повинні підтримувати оновлене мікропрограмне забезпечення та сегментувати мережі для інтелектуальних пристроїв. Простий Medidas зменшує вплив у підключених екосистемах.

Вплив на ринок домашніх роботів

DJI Romo увійшов у сегмент роботів-пилососів із розширеними функціями картографування та камери. Збій стався незабаром після глобального запуску. Isso може вплинути на довіру до продукції бренду, відомого дронами.

Компанії в цьому секторі стикаються зі зростаючим тиском щодо безпеки. Incidentes стверджує, що зручність підключення вимагає ретельного моніторингу. Цей випадок є попередженням для всієї вітчизняної індустрії Інтернету речей.

Azdoufal поділився своїм кодом для керування геймпадом після виправлень. Ele підкреслив, що не досліджував дані, і негайно повідомив про проблему.