Как един потребител без да иска се превърна в Големия брат на робо прахосмукачките
Сами Аздуфал не е професионален хакер, нито кибертерорист. Той е специалист по AI тактики в компания за ваканционни парцели, който просто е направил една от най-екстравагантните покупки за дома си - DJI Romo. За най-малко 1300 евро получаваш софтуерно страшилище, което мие подове, отстранява праха и се ориентира в пространството с LIDAR и изкуствен интелект.
Но Сами имал една дребна, чисто човешка упоритост: желал да ръководи своята скъпа играчка с контролер от PlayStation 5. " Просто звучеше занимателно ", споделя той пред The Verge. Вместо обаче да подкара единствено своята прахосмукачка, Аздуфал несъзнателно се трансформирал в главнокомандващ на цяла войска от роботи.
Използвайки Claude Code (инструмент за програмиране с неестествен интелект), той създал приложение, което да свърже своя геймпад със сървърите на DJI. Когато обаче софтуерът му " почукал " на вратата на китайската компания, тя не просто му отворила - тя му дала всички ключове. Вместо един робот, на екрана му почнали да се регистрират хиляди.
Продавана в България прахосмукачка робот шпионира дома ви и блокира, в случай че не ѝ позволите да го прави
Оказва се, че това надалеч не е единственият проблем с iLife A11
" Открих, че моето устройство е просто капка в океан от устройства ", споделя Сами. В рамките на една проява онлайн пред публицисти, преносимият компютър му каталогизира тъкмо 6700 устройства DJI в 24 разнообразни страни.
На всеки три секунди тези роботи " рапортували " на своя нов, несъзнателен шеф: серийни номера, равнища на батерията, IP адреси и детайлни 2D карти на домовете, в които се намират. Ако прибавим и портативните захранващи станции DJI Power, които употребяват същите сървъри, Аздуфал е имал достъп до над 10 000 устройства.
Абсурдът не стопира дотук. Сами съумял да заобиколи защитните ПИН кодове и да получи достъп до камерите и микрофоните на роботите. " Толкова е необичайно да имаш микрофон на една скапана прахосмукачка ", сбит е Аздуфал.
Реакцията на DJI е на равнището на сигурността на продукта им. Сами изпратил голям брой имейли, които потънали в тишина. Едва след намесата на медиите, компанията дала отговор - само че не и без опит за замитане под килима. Говорителката на компанията в началото разгласи казуса за решен в миг, в който Аздуфал го показва образно пред публицисти.
Китайският колос най-после призна за " проблем с валидирането на разрешенията ". Оказа се, че Сами просто е извлякъл личния си частен токен (цифровия ключ за достъп), а сървърите на DJI са решили, че този ключ е повсеместен. Те препредавали данните в чист текст (plaintext) на равнище приложение - нещо, което експертите по сигурност считат за аматьорска неточност.
Случаят с DJI не е изолиран случай, а част от по-широка и плашеща наклонност. През 2024 година хакери поеха контрола над прахосмукачки Ecovacs, с цел да гонят домашни любимци и да крещят расистки обиди през високоговорителите им.
Паднали колоси: iRobot направи гражданска война, само че след това загуби пътя
Понякога да създадеш цяла нова продуктова категория просто не е задоволително
Южнокорейските управляващи неотдавна откриха сериозни уязвимости в модели на Dreame и Narwal.
Въпреки че DJI към този момент е запушила най-голямата дупка, Сами Аздуфал твърди, че към момента има съществени пробойни, за които компанията мълчи. Една от тях е толкоз рискова, че медиите отхвърлят да я разкрият, до момента в който не бъде поправена.
" Да, не съблюдавам разпоредбите, само че хората се придържат към стратегиите за докладване на неточности поради парите. На мен не ми пука, просто желая това да бъде оправено ", споделя Сами. Единствената му разтуха? Вече в действителност може да ръководи своята прахосмукачка с джойстик.
Но Сами имал една дребна, чисто човешка упоритост: желал да ръководи своята скъпа играчка с контролер от PlayStation 5. " Просто звучеше занимателно ", споделя той пред The Verge. Вместо обаче да подкара единствено своята прахосмукачка, Аздуфал несъзнателно се трансформирал в главнокомандващ на цяла войска от роботи.
Използвайки Claude Code (инструмент за програмиране с неестествен интелект), той създал приложение, което да свърже своя геймпад със сървърите на DJI. Когато обаче софтуерът му " почукал " на вратата на китайската компания, тя не просто му отворила - тя му дала всички ключове. Вместо един робот, на екрана му почнали да се регистрират хиляди.
Продавана в България прахосмукачка робот шпионира дома ви и блокира, в случай че не ѝ позволите да го прави
Оказва се, че това надалеч не е единственият проблем с iLife A11
" Открих, че моето устройство е просто капка в океан от устройства ", споделя Сами. В рамките на една проява онлайн пред публицисти, преносимият компютър му каталогизира тъкмо 6700 устройства DJI в 24 разнообразни страни.
На всеки три секунди тези роботи " рапортували " на своя нов, несъзнателен шеф: серийни номера, равнища на батерията, IP адреси и детайлни 2D карти на домовете, в които се намират. Ако прибавим и портативните захранващи станции DJI Power, които употребяват същите сървъри, Аздуфал е имал достъп до над 10 000 устройства.
Абсурдът не стопира дотук. Сами съумял да заобиколи защитните ПИН кодове и да получи достъп до камерите и микрофоните на роботите. " Толкова е необичайно да имаш микрофон на една скапана прахосмукачка ", сбит е Аздуфал.
Реакцията на DJI е на равнището на сигурността на продукта им. Сами изпратил голям брой имейли, които потънали в тишина. Едва след намесата на медиите, компанията дала отговор - само че не и без опит за замитане под килима. Говорителката на компанията в началото разгласи казуса за решен в миг, в който Аздуфал го показва образно пред публицисти.
Китайският колос най-после призна за " проблем с валидирането на разрешенията ". Оказа се, че Сами просто е извлякъл личния си частен токен (цифровия ключ за достъп), а сървърите на DJI са решили, че този ключ е повсеместен. Те препредавали данните в чист текст (plaintext) на равнище приложение - нещо, което експертите по сигурност считат за аматьорска неточност.
Случаят с DJI не е изолиран случай, а част от по-широка и плашеща наклонност. През 2024 година хакери поеха контрола над прахосмукачки Ecovacs, с цел да гонят домашни любимци и да крещят расистки обиди през високоговорителите им.
Паднали колоси: iRobot направи гражданска война, само че след това загуби пътя
Понякога да създадеш цяла нова продуктова категория просто не е задоволително
Южнокорейските управляващи неотдавна откриха сериозни уязвимости в модели на Dreame и Narwal.
Въпреки че DJI към този момент е запушила най-голямата дупка, Сами Аздуфал твърди, че към момента има съществени пробойни, за които компанията мълчи. Една от тях е толкоз рискова, че медиите отхвърлят да я разкрият, до момента в който не бъде поправена.
" Да, не съблюдавам разпоредбите, само че хората се придържат към стратегиите за докладване на неточности поради парите. На мен не ми пука, просто желая това да бъде оправено ", споделя Сами. Единствената му разтуха? Вече в действителност може да ръководи своята прахосмукачка с джойстик.
Източник: money.bg
КОМЕНТАРИ