DJI заплатит 30 тысяч долларов мужчине, который случайно хакнул 7000 роботов-пылесосов

Артур Заёнц

Основные тезисы

Компания DJI выплатит 30 тысяч долларов исследователю безопасности Самми Аздуфалу за обнаружение уязвимостей, позволивших получить доступ к сети из около 7000 роботов-пылесосов.
DJI уже исправила часть уязвимостей и планирует полностью модернизировать систему безопасности в течение месяца, а также расширить сотрудничество с сообществом исследователей кибербезопасности.

Один эксперимент с геймпадом открыл доступ к тысячам роботов DJI – компания выплатит вознаграждение / DJI

Компания DJI выплатит 30 тысяч долларов исследователю безопасности, который во время эксперимента с управлением роботом-пылесосом обнаружил доступ к сети примерно с 7000 устройств. Часть уязвимостей производитель уже исправил, а остальные пообещал закрыть в ближайшее время.

История началась с эксперимента пользователя по имени Самми Аздуфал. Он пытался управлять своим роботом-пылесосом DJI Romo с помощью геймпада от PlayStation. Во время попыток настроить управление мужчина неожиданно обнаружил, что может подключиться к целой сети роботов DJI. Об этом пишет The Verge.

Как один эксперимент открыл доступ к тысячам роботов?

По его словам, речь шла примерно о 7000 устройств, которыми можно было управлять удаленно. В некоторых случаях это даже позволяло просматривать видео с камер роботов в чужих домах.

Когда история стала публичной, выяснилось, что часть связанных с этим проблем DJI уже начала исправлять еще до того, как Аздуфал продемонстрировал масштабы доступа журналистам. Однако оставалось непонятно, получит ли он вознаграждение за найденные ошибки и насколько быстро компания устранит другие уязвимости.

Теперь появились новые подробности. По словам Аздуфала, DJI выплатит ему 30 тысяч долларов за одно из обнаруженных открытий. Это подтверждается электронным письмом, которое он показал журналистам. При этом компания не уточняет, за какую именно находку назначено вознаграждение.

DJI также не называет имя исследователя, но подтверждает, что выплатила награду одному из специалистов по кибербезопасности.

Как пишет gigazine, одна из проблем касалась возможности просмотра видеопотока с робота Romo без ввода PIN-кода. Представительница компании Дейзи Конг сообщила, что эту уязвимость уже устранили. По ее словам, исправление было внедрено до конца февраля.

В то же время остаются и другие проблемы безопасности. В частности одна из них настолько серьезная, что журналисты не описывали ее подробно в предыдущем материале. В DJI заявили, что уже работают над ее исправлением.

Компания также начала модернизацию всей системы. По плану, серия обновлений должна быть завершена примерно в течение месяца.

Отдельно DJI опубликовала блог-сообщение об усилении безопасности Romo. В нем компания отмечает, что сначала сама обнаружила проблему, но одновременно отмечает работу двух независимых исследователей безопасности, которые нашли ту же уязвимость.

В заметке также утверждается, что обновления уже развернуты и полностью решают проблему. Однако в комментарии журналистам DJI уточнила, что не все уязвимости устранены окончательно, и на некоторые исправления может потребоваться еще до месяца.

В компании напомнили, что робот Romo имеет сертификации безопасности ETSI, ЕС и UL. В то же время этот случай вызвал вопрос об эффективности таких проверок, ведь один исследователь смог получить доступ к большой сети роботов.

DJI сообщает, что продолжит тестировать устройство и его приложение, устанавливать обновления безопасности и проходить независимые аудиты. Также компания планирует расширить сотрудничество с сообществом исследователей кибербезопасности и готовит новые программы партнерства для поиска уязвимостей.