Пользователь, который хотел управлять своим DJI Romo через контроллер PlayStation, случайно получил «ключи» от примерно 6 700 роботов‑пылесосов по всему миру — уязвимость позволяла извлекать токены и с их помощью просматривать планы помещений, подключаться к камерам и микрофонам и отдалённо управлять устройствами. Проблема всплыла после того, как энтузиаст обратился к инструменту для анализа протоколов и обнаружил, что приватный токен его пылесоса даёт доступ не только к этому устройству.
AI‑стратег Сэмми Адуфал использовал Claude Code, чтобы понять, как Romo общается с серверами производителя. Вместо доступа только к своему устройству он получил действительные серверные ответы, которые позволяли перечислить и управлять множеством аккаунтов и роботов. По словам исследователя, он не обходил защиту целенаправленно: всё началось с приватного токена его собственного пылесоса, который сервер принял за действительный для других устройств.
«Я не нарушал никаких правил, я не обходил, не ломал и не использовал брутфорс»
Сэмми Адуфал, AI‑стратег
Речь не только о дистанционном включении местной уборки: через уязвимость можно было получить маршрутные карты помещений — точные планы комнат и коридоров, а также живые видеопотоки и звук с микрофонов на устройствах. Для домов и малых офисов это прямой риск для приватности; для компаний с чувствительной инфраструктурой — дополнительная угроза утечки схем и режимов работы.
Это не единичный случай для «умных» пылесосов: в прошлом году инженеру пришлось бороться с тем, что iLife A11 постоянно отправлял логи и телеметрию производителю, а попытка заблокировать отправку вылилась в удалённый «кил‑код», который сделал устройство нефункциональным. Оба инцидента подчёркивают, что облачная привязка и доверие к токенам — слабое место многих IoT‑устройств.
Производитель должен будет ревизировать механизм выдачи и валидации токенов, ввести ограничение области действия токена (scope) и контролировать соответствие токена конкретному MAC‑адресу или серийному номеру устройства, а также проводить аудит доступа к видеопотокам. Такие патчи обычно приходят в виде обновления прошивки и серверной правки авторизации; точные сроки зависят от того, как быстро разработчик подтвердит проблему и развернёт фикс.
Пока ждёте исправления, стоит отключить ненужные облачные функции, обновить прошивку, сменить пароли и изолировать устройство в отдельной сети или VLAN. Для продвинутых пользователей возможен локальный режим работы без отправки данных в облако — и опыт показывает, что многие пылесосы остаются функциональными офлайн.
Остаётся открытым вопрос: научит ли эпизод производителей давать пользователям контроль над данными и снижать излишнюю облачность устройств — или же мы увидим очередной виток временных правок и повторяющиеся уязвимости.
Источник инцидента — случайное исследование, но его последствия подчёркивают, что безопасность IoT‑устройств больше не может ограничиваться маркировкой «удобно» — она напрямую связана с приватностью и физической безопасностью пользователей.