Компанія DJI виплатить 30 тисяч доларів досліднику безпеки, який під час експерименту з керуванням роботом-пилососом виявив доступ до мережі приблизно з 7000 пристроїв. Частину уразливостей виробник уже виправив, а решту пообіцяв закрити найближчим часом.
Історія почалася з експерименту користувача на ім’я Саммі Аздуфал. Він намагався керувати своїм роботом-пилососом DJI Romo за допомогою геймпада від PlayStation. Під час спроб налаштувати керування чоловік несподівано виявив, що може підключитися до цілої мережі роботів DJI, пише 24.
За його словами, йшлося приблизно про 7000 пристроїв, якими можна було керувати віддалено. У деяких випадках це навіть дозволяло переглядати відео з камер роботів у чужих домівках.
Коли історія стала публічною, з’ясувалося, що частину пов’язаних із цим проблем DJI вже почала виправляти ще до того, як Аздуфал продемонстрував масштаби доступу журналістам. Проте залишалося незрозуміло, чи отримає він винагороду за знайдені помилки та наскільки швидко компанія усуне інші уразливості.
Тепер з’явилися нові подробиці. За словами Аздуфала, DJI виплатить йому 30 тисяч доларів за одне з виявлених відкриттів. Це підтверджується електронним листом, який він показав журналістам. При цьому компанія не уточнює, за яку саме знахідку призначена винагорода.
DJI також не називає ім’я дослідника, але підтверджує, що виплатила нагороду одному з фахівців із кібербезпеки.
Як пише gigazine, одна з проблем стосувалася можливості перегляду відеопотоку з робота Romo без введення PIN-коду. Представниця компанії Дейзі Конг повідомила, що цю уразливість уже усунули. За її словами, виправлення було впроваджене до кінця лютого.
Водночас залишаються й інші проблеми безпеки. Зокрема одна з них настільки серйозна, що журналісти не описували її детально у попередньому матеріалі. У DJI заявили, що вже працюють над її виправленням.
Компанія також почала модернізацію всієї системи. За планом, серія оновлень має бути завершена приблизно протягом місяця.
Окремо DJI опублікувала блог-допис про посилення безпеки Romo. У ньому компанія зазначає, що спочатку сама виявила проблему, але водночас відзначає роботу двох незалежних дослідників безпеки, які знайшли ту саму вразливість.
У дописі також стверджується, що оновлення вже розгорнуті та повністю вирішують проблему. Однак у коментарі журналістам DJI уточнила, що не всі вразливості усунуті остаточно, і на деякі виправлення може знадобитися ще до місяця.
У компанії нагадали, що робот Romo має сертифікації безпеки ETSI, ЄС та UL. Водночас цей випадок викликав питання щодо ефективності таких перевірок, адже один дослідник зміг отримати доступ до великої мережі роботів.
DJI повідомляє, що продовжить тестувати пристрій і його застосунок, встановлювати оновлення безпеки та проходити незалежні аудити. Також компанія планує розширити співпрацю зі спільнотою дослідників кібербезпеки і готує нові програми партнерства для пошуку вразливостей.
