Пользователь, который хотел управлять своим DJI Romo через контроллер PlayStation, случайно получил «ключи» от примерно 6 700 роботов‑пылесосов по всему миру — уязвимость позволяла извлекать токены и с их помощью просматривать планы помещений, подключаться к камерам и микрофонам и отдалённо управлять устройствами. Проблема всплыла после того, как энтузиаст обратился к инструменту для анализа протоколов и обнаружил, что приватный токен его пылесоса даёт доступ не только к этому устройству.

Как произошёл взлом Romo

AI‑стратег Сэмми Адуфал использовал Claude Code, чтобы понять, как Romo общается с серверами производителя. Вместо доступа только к своему устройству он получил действительные серверные ответы, которые позволяли перечислить и управлять множеством аккаунтов и роботов. По словам исследователя, он не обходил защиту целенаправленно: всё началось с приватного токена его собственного пылесоса, который сервер принял за действительный для других устройств.

Доступ позволял: получать точные планы помещений, подключаться к живым видео- и аудиопотокам, отправлять управляющие команды.

Разброс устройств: взаимодействующие серверы находились в США, Европе и Китае.

Масштаб: около 6 700 устройств стали потенциально доступными.

«Я не нарушал никаких правил, я не обходил, не ломал и не использовал брутфорс» Сэмми Адуфал, AI‑стратег

Какие данные оказались доступны

Речь не только о дистанционном включении местной уборки: через уязвимость можно было получить маршрутные карты помещений — точные планы комнат и коридоров, а также живые видеопотоки и звук с микрофонов на устройствах. Для домов и малых офисов это прямой риск для приватности; для компаний с чувствительной инфраструктурой — дополнительная угроза утечки схем и режимов работы.

Это не единичный случай для «умных» пылесосов: в прошлом году инженеру пришлось бороться с тем, что iLife A11 постоянно отправлял логи и телеметрию производителю, а попытка заблокировать отправку вылилась в удалённый «кил‑код», который сделал устройство нефункциональным. Оба инцидента подчёркивают, что облачная привязка и доверие к токенам — слабое место многих IoT‑устройств.

Как исправят уязвимость и когда

Производитель должен будет ревизировать механизм выдачи и валидации токенов, ввести ограничение области действия токена (scope) и контролировать соответствие токена конкретному MAC‑адресу или серийному номеру устройства, а также проводить аудит доступа к видеопотокам. Такие патчи обычно приходят в виде обновления прошивки и серверной правки авторизации; точные сроки зависят от того, как быстро разработчик подтвердит проблему и развернёт фикс.





Пока ждёте исправления, стоит отключить ненужные облачные функции, обновить прошивку, сменить пароли и изолировать устройство в отдельной сети или VLAN. Для продвинутых пользователей возможен локальный режим работы без отправки данных в облако — и опыт показывает, что многие пылесосы остаются функциональными офлайн.

Остаётся открытым вопрос: научит ли эпизод производителей давать пользователям контроль над данными и снижать излишнюю облачность устройств — или же мы увидим очередной виток временных правок и повторяющиеся уязвимости.

Источник инцидента — случайное исследование, но его последствия подчёркивают, что безопасность IoT‑устройств больше не может ограничиваться маркировкой «удобно» — она напрямую связана с приватностью и физической безопасностью пользователей.