Китайський виробник безпілотників піддає користувачів ризику безпеки? Він за допомогою Claude зворотне інженерне дослідження отримав контроль над глобальним обладнанням

Інженери за допомогою Claude зворотно інженерили робот-пилосос DJI Romo від DJI, випадково отримавши контроль над 7 000 пристроями у світі та доступ до домашньої приватності. Китайські AI-іграшки також часто стають причиною витоку особистих даних, що викликає побоювання щодо безпеки.

DJI Romo — робот-пилосос від DJI, викликав побоювання щодо безпеки

Просто хотів керувати робот-пилососом через контролер PS5, але випадково отримав контроль над 7 000 пристроями у світі?

У лютому цього року інженер Sammy Azdoufal повідомив порталу «The Verge», що спочатку він просто хотів спробувати дистанційне керування новим DJI Romo за допомогою геймпада PS5, а також за допомогою AI-помічника Claude Code здійснював зворотню інженерію протоколів зв’язку між цим пристроєм і хмарними серверами DJI.

Коли він створив власний додаток і під’єднав його до сервера, він несподівано виявив, що може не лише керувати своїм пристроєм, а й отримати контроль над приблизно 7 000 роботами-пилососами DJI у всьому світі.

Azdoufal зазначив, що він може дистанційно керувати цими роботами, дивитись і слухати через камери в реальному часі, а також бачити, як вони малюють план поверху з точним розміром і формою кожної кімнати.

Медіа підтвердили вразливість, показавши, що лише за допомогою серійного номера можна отримати доступ до домашньої приватності

Щоб перевірити вразливість DJI Romo, журналіст «The Verge» попросив колегу Thomas Ricker надати 14-значний серійний номер робота-пилососа DJI Romo. Azdoufal, маючи лише цей номер, зміг знайти їх у системі та точно визначити, що він чистить вітальню і має рівень заряду 80%.

Джерело: офіційний сайт DJI

За кілька хвилин цей робот, що знаходиться в іншій країні, створив і передав точну план-схему будинку. Azdoufal показав, що він зміг обійти систему захисту паролем і безпосередньо отримати доступ до потокового відео з пристрою.

Він підкреслив, що він не зламав сервер DJI, а лише отримав приватні сертифікати пристрою, після чого сервер передав йому дані тисяч інших користувачів, і вся інформація була у відкритому вигляді.

DJI визнає проблему з авторизацією, заявляючи, що вже виправила її

DJI — китайський виробник безпілотників і технологічних пристроїв, що має у своєму портфоліо дрони, камери та роботи-пилососи, з часткою ринку 70-83% у цивільному та комерційному сегменті.

Джерело: офіційний сайт DJI

Коментуючи витік інформації, представник DJI Daisy Kong заявила, що вразливість стосується проблеми авторизації у бекенд-системі зв’язку між пристроями і серверами. Вона додала, що компанія виявила цю проблему наприкінці січня і вже у лютому провела дві оновлення системи для її усунення.

DJI підкреслює, що теоретично ця вразливість могла дозволити стороннім отримати доступ до потокового відео з пристроїв без авторизації, але на практиці такі випадки були дуже рідкісними і здебільшого стосувалися тестування власних пристроїв дослідниками безпеки. Компанія запевняє, що всі комунікації захищені за допомогою TLS.

Однак дослідник безпеки Kevin Finisterre зазначив, що навіть якщо передача даних зашифрована, відсутність належного контролю доступу на сервері дозволяє внутрішнім співробітникам або авторизованим клієнтам легко читати дані.

Проблеми безпеки китайських AI-іграшок також викликають занепокоєння

Крім роботів-пилососів DJI, іноземні ЗМІ нещодавно повідомили про проблеми безпеки та освіти, пов’язані з китайськими AI-іграшками.

Згідно з повідомленням «Wired» наприкінці січня, дослідники безпеки Joseph Thacker і Joel Margolis виявили, що бекенд китайської компанії-виробника AI-іграшок Bondu не має належного захисту, що призвело до витоку понад 50 000 записів особистих даних дітей і їхніх повідомлень.

«NBC News» також повідомила, що іграшка Miiloo від китайської компанії Miriat нав’язує дітям певну політичну позицію, наприклад, що «Тайвань — частина Китаю».

Американська організація з дослідження громадських інтересів попередила, що AI-іграшки не мають механізмів фільтрації контенту, що спричинило звернення Комітету з питань китайської проблематики Палати представників США до Міністерства освіти з попередженнями щодо ризиків для приватності даних і національної безпеки.

Детальніше дивіться за посиланнями:
Ще купуєте AI-іграшки? Bondu витекло 50 000 записів особистих даних дітей, а Miiloo нав’язує: Тайвань — частина Китаю