DJI устранила уязвимость безопасности ROMO, которая могла раскрыть данные тысяч домов
Инженер-программист, обнаруживший серьезную уязвимость в облачной инфраструктуре DJI, которая потенциально могла раскрыть данные тысяч роботов-пылесосов, получил от компании вознаграждение в размере 30 000 долларов.
Об этом открытии, впервые опубликованном The Verge, стало известно, что ошибка авторизации в серверной части системы, управляющей роботом-пылесосом DJI ROMO, могла предоставить доступ к парку из примерно 7 000 устройств в 24 странах.
Эти устройства не просто чистили полы. Они также оснащены камерами, микрофонами и датчиками картографирования, которые помогали им ориентироваться в домах, что делало последствия уязвимости особенно чувствительными.
Хотя DJI утверждает, что проблема уже устранена и никаких пользовательских данных, похоже, не было использовано не по назначению, инцидент вызвал новые дискуссии о безопасности домашних подключенных устройств.
Простой эксперимент привел к крупному открытию
Ситуация началась с того, что казалось безобидным экспериментом. Инженер-программист Сэмми Аздуфал хотел управлять своим роботом-пылесосом DJI ROMO с помощью контроллера PlayStation 5 вместо стандартного приложения для смартфона. Для этого он начал создавать собственный интерфейс контроллера, который должен был обмениваться данными с облачными системами DJI.
Как и многие подключенные устройства, робот-пылесос проверяет право собственности с помощью токена безопасности, который аутентифицирует команды, отправляемые с устройства пользователя. Чтобы извлечь этот токен и понять, как работает авторизация, Аздуфал начал реверс-инжиниринг процесса, используемого облачным бэкендом DJI. Сообщается, что для анализа системы он использовал ИИ-инструмент для написания кода.
То, что он обнаружил, его удивило. Вместо того чтобы предоставлять доступ только к его пылесосу, процесс валидации в серверной части разрешал гораздо более широкие права. Система фактически открыла дверь к тысячам устройств, подключенных к той же облачной инфраструктуре.
Согласно отчету, из-за ошибки Аздуфал мог видеть данные, связанные примерно с 7 000 пылесосами DJI ROMO по всему миру. Поскольку роботы-пылесосы оснащены встроенными камерами и микрофонами, уязвимость также предоставляла потенциальный доступ к прямым трансляциям с камер и аудиопотокам.
Кроме того, система хранила информацию о картографировании, созданную пылесосами во время уборки домов. Это означало, что Аздуфал мог генерировать 2D-планы домов, в которых работали эти устройства.
По имеющимся данным, серверная часть даже раскрывала IP-адреса, связанные с домами, что потенциально могло раскрыть примерные географические местоположения.
Аздуфал подчеркнул, что он не использовал уязвимость в злонамеренных целях. Вместо этого он документировал находки и ответственно сообщил о проблеме. Согласно сообщениям, он также уведомил журналистов, что привлекло дальнейшее внимание и обращение к DJI.
DJI утверждает, что проблема уже находилась на рассмотрении
DJI предоставила несколько иную хронологию обнаружения и устранения уязвимости. В заявлении компания сообщила, что в конце января во время плановой внутренней проверки безопасности обнаружила проблему проверки подлинности на стороне сервера, связанную с приложением DJI Home. Проблема затронула новый продукт — робот-пылесос ROMO, а также некоторые блоки питания DJI.
DJI заявляет, что два независимых специалиста по безопасности позже сообщили об этой же уязвимости через программу поиска ошибок компании, что способствовало процессу устранения.
Компания сообщила, что обновления уже были развернуты для устранения проблемы. «Технологии не статичны; они постоянно развиваются, и безопасность должна развиваться вместе с ними», — настаивает DJI.
Согласно DJI, их расследование показало, что необычная активность, связанная с уязвимостью, была в основном результатом тестирования системы специалистами по безопасности, а не злонамеренной эксплуатации. «Мы не обнаружили доказательств злоупотребления данными пользователей», — заявили в компании.
Несмотря на то, что уязвимость была устранена, история получила огласку после того, как Аздуфал поделился письмом от DJI, в котором компания сообщила, что выплатит ему 30 000 долларов за одно из сообщений об обнаружении. DJI подтвердила СМИ, что выплатила вознаграждение неназванному исследователю, хотя компания не уточнила, какое именно открытие было вознаграждено. Отсутствие подробностей породило некоторую неопределенность относительно вознаграждения и его места в программе поиска ошибок DJI.
Программы поиска ошибок (bug bounty programs) часто используются в технологической индустрии для поощрения независимых исследователей ответственно раскрывать уязвимости, а не использовать их. Затем компании вознаграждают исследователей в зависимости от серьезности ошибки.
DJI заявляет, что ее программа действует почти десять лет. «С момента запуска нашей программы поиска ошибок почти десять лет назад более 300 специалистов по безопасности представили отчеты о потенциальных уязвимостях на различных платформах DJI», — заявила компания.
Безопасность остается главным приоритетом, заявляет DJI
DJI подчеркнула, что вложила значительные средства в укрепление безопасности своей экосистемы на протяжении многих лет. Компания заявляет, что имеет специальную команду по безопасности продуктов, проводит регулярные обзоры архитектуры и кода, а также выполняет сквозное тестирование на проникновение для выявления потенциальных уязвимостей. Она также следует практике скоординированного раскрытия информации и при необходимости развертывает автоматические исправления.
Сама линейка продуктов ROMO, отмечает DJI, уже получила несколько сертификатов безопасности, включая ETSI EN 303 645, требования EU RED и сертификацию UL Solutions Diamond IoT Security.
Компания добавила, что планирует продолжать подвергать свою продукцию, включая ROMO и приложение DJI Home, независимым сторонним аудитам безопасности. «Наши клиенты доверяют нашим технологиям, и мы относимся к этому очень серьезно», — заявила DJI.
Для потребителей этот эпизод подчеркивает более широкую реальность современного умного дома. Устройства, такие как роботы-пылесосы, камеры видеонаблюдения и умные колонки, в значительной степени полагаются на облачную инфраструктуру, и любая слабость в этой инфраструктуре может иметь далеко идущие последствия. В данном случае уязвимость, по-видимому, была обнаружена до того, как произошло какое-либо широкомасштабное злоупотребление. Тем не менее, это открытие служит напоминанием о том, почему компании инвестируют в программы поиска ошибок и партнерство с исследователями безопасности, и почему ответственное раскрытие информации может сделать подключенные технологии безопаснее для всех.
Подробнее: DJI Mini 4 Pro, Matrice 4 могут быстрее создавать 3D-модели с помощью этого инструмента
