DJI выплачивает $30,000 за уязвимость, угрожающую 7000 робот-пылесосам

Компания DJI выплачивает исследователю безопасности Сэмми Аздоуфалу $30,000 после того, как он случайно обнаружил масштабную уязвимость безопасности, пытаясь управлять своим робот-пылесосом с помощью контроллера PlayStation. Уязвимость открыла сеть из 7000 робот-пылесосов DJI Romo, потенциально позволяя удаленный доступ к камерам в домах пользователей. Эта выплата стала значительным шагом для DJI, которая ранее сталкивалась с критикой за свое обращение с исследователями безопасности, и закрывает расследование, начавшееся в День святого Валентина.

DJI, компания, известная своими дронами и робототехникой, выплатила Аздоуфалу $30,000 за случайное обнаружение уязвимости в сети безопасности, которая открыла доступ к тысячам робот-пылесосов, подверженных потенциальному захвату.

Аздоуфал не искал уязвимости, когда сделал это открытие. Он просто пытался управлять своим робот-пылесосом DJI Romo с помощью игрового контроллера от PlayStation, экспериментируя с устройством, как это делает любой любитель техники. Вместо этого он наткнулся на незащищенную сеть примерно из 7000 удаленно управляемых роботов DJI, доступ к которым мог получить любой, кто знал, где искать. Камеры роботов теоретически могли быть доступны, создавая значительный риск для конфиденциальности тысяч домохозяйств.

История была опубликована в День святого Валентина, когда The Verge обнародовал результаты Аздоуфала, и она моментально стала заголовком новостей по всему миру. Однако первоначальный отчет оставил два критических вопроса без ответа: заплатит ли DJI Аздоуфалу за его открытие? И как быстро компания устранит уязвимости?

Выплата в размере $30,000 отвечает на первый вопрос. Для DJI это не только компенсация — это заявление. У компании сложная история с исследователями безопасности, особенно после того, как она неудачно обработала ситуацию с Кевином Финнистером в 2017 году. Финнистер обнаружил уязвимости в системах DJI и пытался работать с компанией через ее программу по типу bug bounty, но отношения испортились среди разногласий по вопросам раскрытия. Этот инцидент оставил пятно на репутации DJI в сообществе безопасности.

На этот раз ситуация выглядит иначе. Согласно последним отчетам The Verge, DJI уже начала устранять некоторые связанные уязвимости до того, как Аздоуфал продемонстрировал весь объем того, что он смог обнаружить. Готовность компании выплатить вознаграждение и работать с исследователем говорит о том, что она извлекла уроки из прошлых ошибок.

Технические детали уязвимости

Технические детали уязвимости подчеркивают, как потребительские IoT-устройства могут создавать неожиданные риски безопасности. Робот-пылесосы становятся все более подключенными устройствами, наделенными камерами и сенсорами для эффективного навигации по домам. Но это подключение создает потенциальные векторы атаки. Когда тысячи устройств используют общую сетевую архитектуру без надлежащих мер безопасности, один любопытный исследователь с контроллером PlayStation может случайно найти доступ, который не должен существовать.

Согласно инциденту, технологии IoT продолжат оставаться в центре внимания безопасности. Робот-пылесосы от нескольких производителей сталкиваются с проблемами защиты в последние годы. Эти устройства нуждаются в подключении к интернету для таких функций, как удаленное управление и планирование, но реализация безопасного подключения требует тщательной архитектуры. Линейка Romo от DJI вступила на переполненный рынок с такими известными игроками, как iRobot и Roborock, и уязвимости безопасности могут быстро подорвать доверие потребителей.

Финансирование уязвимостей и Проблемы безопасности для DJI

Выплата в размере $30,000 попадает в типичные диапазоны вознаграждений за уязвимости такой серьезности. Обычно компании выплачивают больше за уязвимости, которые могут позволить удаленное выполнение кода или массовое утечка данных. Уязвимость, раскрывающая 7000 устройств с камерами, подходит под этот критерий, хотя вознаграждения могут варьироваться от нескольких сотен долларов до шести значных сумм в зависимости от компании и степени тяжести проблемы.

Пуш DJI в потребительскую робототехнику представляет собой стратегическое расширение за рамки основного бизнеса по производству дронов. Компания доминирует на рынке потребительских и коммерческих дронов, но сталкивается с регуляторным давлением, особенно в Соединенных Штатах. Диверсификация в домашнюю робототехнику имеет смысл, но продукты, такие как робот-пылесосы, требуют других соображений безопасности, чем дроны. Скомпрометированный дрон вызывает беспокойство; компрометированное устройство с камерой внутри дома кого-то — это кошмар для конфиденциальности.

Путь вперед для DJI

Сообщество исследователей безопасности будет внимательно следить за тем, как DJI будет обрабатывать патчи и раскрытие информации. Программы bug bounty работают только тогда, когда исследователи доверяют компаниям действовать ответственно с отчетами о уязвимостях. Быстрая обработка патчей, справедливая компенсация и уважительное отношение к исследователям создают это доверие. Публичные споры и задержки с исправлениями его разрушают.

Выплата в размере $30,000 Сэмми Аздоуфалу представляет собой не просто компенсацию за открытие ошибки — это попытка DJI восстановить доверие с сообществом исследователей безопасности после прошлых споров. Поскольку компания расширяется за рамки дронов в область домашней робототехники, правильное обращение с безопасностью становится обязательным. Робот-пылесосы с камерами функционируют в самых приватных пространствах домов людей, и уязвимости, раскрывающие тысячи устройств, не могут быть допущены. Будет ли этот случай представлять собой искренний сдвиг в подходе DJI или же просто хорошее управление имиджем, будет зависеть от того, как компания будет обращаться с следующим исследователем, который обнаружит уязвимость. На данный момент Аздоуфал получил деньги, уязвимость исправляется, а эксперимент одного человека с игровой консолью стал вознаграждением в $30,000.