Сами Аздуфал не е професионален хакер, нито кибертерорист. Той е експерт по AI стратегии в компания за ваканционни имоти, който просто е направил една от най-екстравагантните покупки за дома си - DJI Romo. За минимум 1300 евро получаваш технологично чудовище, което мие подове, премахва праха и се ориентира в пространството с LIDAR и изкуствен интелект.
Но Сами имал една малка, чисто човешка амбиция: искал да управлява своята скъпа играчка с контролер от PlayStation 5. "Просто звучеше забавно", казва той пред The Verge. Вместо обаче да подкара само своята прахосмукачка, Аздуфал неволно се превърнал в главнокомандващ на цяла армия от роботи.
Използвайки Claude Code (инструмент за програмиране с изкуствен интелект), той разработил приложение, което да свърже своя геймпад със сървърите на DJI. Когато обаче софтуерът му "почукал" на вратата на китайската компания, тя не просто му отворила - тя му дала всички ключове. Вместо един робот, на екрана му започнали да се отчитат хиляди.
"Открих, че моето устройство е просто капка в океан от устройства", споделя Сами. В рамките на една демонстрация на живо пред журналисти, лаптопът му каталогизира точно 6700 устройства DJI в 24 различни държави.
На всеки три секунди тези роботи "рапортували" на своя нов, неволен началник: серийни номера, нива на батерията, IP адреси и детайлни 2D карти на домовете, в които се намират. Ако добавим и преносимите захранващи станции DJI Power, които ползват същите сървъри, Аздуфал е имал достъп до над 10 000 устройства.
Абсурдът не спира дотук. Сами успял да заобиколи защитните ПИН кодове и да получи достъп до камерите и микрофоните на роботите. "Толкова е странно да имаш микрофон на една скапана прахосмукачка", лаконичен е Аздуфал.
Реакцията на DJI е на нивото на сигурността на продукта им. Сами изпратил множество имейли, които потънали в тишина. Едва след намесата на медиите, компанията отговорила - но не и без опит за замитане под килима. Говорителката на компанията първоначално обяви проблема за решен в момент, в който Аздуфал го демонстрира нагледно пред журналисти.
Китайският гигант накрая призна за "проблем с валидирането на разрешенията". Оказа се, че Сами просто е извлякъл собствения си частен токен (цифровия ключ за достъп), а сървърите на DJI са решили, че този ключ е универсален. Те препредавали данните в чист текст (plaintext) на ниво приложение - нещо, което професионалистите по сигурност смятат за аматьорска грешка.
Случаят с DJI не е изолиран инцидент, а част от по-широка и плашеща тенденция. През 2024 г. хакери поеха контрола над прахосмукачки Ecovacs, за да гонят домашни любимци и да крещят расистки обиди през високоговорителите им.
Южнокорейските власти наскоро откриха критични уязвимости в модели на Dreame и Narwal.
Въпреки че DJI вече е запушила най-голямата дупка, Сами Аздуфал твърди, че все още има сериозни пробойни, за които компанията мълчи. Една от тях е толкова опасна, че медиите отказват да я разкрият, докато не бъде коригирана.
"Да, не спазвам правилата, но хората се придържат към програмите за докладване на грешки заради парите. На мен не ми пука, просто искам това да бъде оправено", казва Сами. Единствената му утеха? Вече наистина може да управлява своята прахосмукачка с джойстик.
USD
CHF
EUR
GBP
