Исследователь получил доступ к семи тысячам роботов-пылесосов DJI
3 мин
22
2
Энтузиаст получил доступ к нескольким тысячам роботов-пылесосов DJI Romo по всему миру, причём сделал это случайно. Он хотел управлять своим новым пылесосом с геймпада от PlayStation 5, для чего написал приложение и подключился к серверам DJI. Однако в приложении на запрос к подключению ответили семь тысяч устройств из разных стран.
Обнаруживший уязвимость эксперт уточнил, что может удалённо управлять пылесосами, смотреть видео с камер, получать карты помещений и определять местоположение по IP. На демонстрации для СМИ за девять минут ноутбук зафиксировал 6,7 тысячи роботов в 24 странах и собрал больше 100 тысяч сообщений. Пылесосы отправляли на серверы пакеты данных каждые три секунды: серийные номера, информацию о комнатах, пройденное расстояние, препятствия. С учётом портативных электростанций DJI Power на тех же серверах получилось больше 10 тысяч доступных девайсов.
Во время демонстрации журналисты попросили коллегу, который тестировал Romo, передать серийный номер устройства. Исследователь ввёл его и получил доступ. В своём приложении специалист увидел, что робот убирает гостиную с 80% заряда. В течение нескольких минут ему также удалось получить точный план этажа, несмотря на то что физически устройство находилось в другой стране.
Далее исследователь показал трансляцию со своего пылесоса. Он успешно обошёл PIN-код и помахал рукой в камеру. Также специалист передал ограниченную версию своего приложения техническому директору IT-консалтинга из Франции, который подтвердил доступ к видео до первого сопряжения.
Энтузиаст утверждает, что не взламывал серверы, а извлёк приватный токен из своего пылесоса. Серверы DJI приняли этот токен и выдали доступ к тысячам чужих устройств. Исследователь проник в тестовый сервер, а также в рабочие для США, Китая и Евросоюза.
После сообщения о проблеме DJI ограничила доступ, поэтому с 17 февраля 2026 года исследователь уже не мог управлять роботом, на котором проводил демонстрацию.
Представитель DJI сначала заявил, что проблему решили в начале февраля. Через полчаса после демонстрации компания признала баг с проверкой разрешений на бэкенде. Уязвимость затрагивала MQTT-обмен между устройством и сервером. Первый патч вышел 8 февраля, второй — 10 февраля.
DJI утверждает, что реальных взломов почти не было. Связь всегда шифровалась через TLS, данные хранятся на AWS в США. Но исследователи считают шифрование канала недостаточным. После подключения к MQTT-брокеру можно подписаться на все темы и видеть сообщения от всех устройств. TLS защищает только канал, но не его содержимое от других участников с правами доступа.
Обнаруживший проблемы специалист утверждает, что DJI не устранила все уязвимости. Одна из незакрытых брешей позволяет смотреть видео со своего пылесоса без PIN-кода. Другую он пока не раскрывает.
Проблемы с безопасностью роботов-пылесосов возникают не только у DJI. В 2024 году хакеры захватывали Ecovacs и пугали с их помощью домашних животных, а в 2025 году власти Кореи нашли в Dreame X50 Ultra уязвимость, которая позволяла смотреть видео. Похожие проблемы возникали также у Ecovacs и Narwal.
