Роботы-пылесосы давно перестали быть просто «щёткой на колёсах». В них есть камера, микрофоны, карта квартиры, доступ к Wi‑Fi и управление через облако. И ровно поэтому история с DJI Romo стала показательной: пользователь, который просто хотел управлять своим пылесосом геймпадом, неожиданно наткнулся на уязвимости, позволяющие заглянуть в чужие дома — в масштабе примерно 7000 устройств.Источник изображения: dji.com

DJI в итоге выплатила ему вознаграждение $30 000 и объявила о закрытии части проблем, но сама ситуация — хороший повод пересмотреть отношение к безопасности умного дома.

Как обнаружили дыру: «поигрался с контроллером — увидел сеть устройств»

Владелец Romo пытался подключить управление через контроллер от PlayStation. По сути, это типичный энтузиастский эксперимент: сделать устройство удобнее, чем в штатном приложении.

В процессе он обнаружил, что при определённых условиях можно получить доступ не только к своему пылесосу, но и к целой сети устройств. Дальше — хуже: часть уязвимостей теоретически позволяла просматривать видеопоток без ввода PIN-кода и выполнять действия удалённо.

Важно: речь не о «взломе Wi‑Fi» и не о подборе паролей. Проблема была в логике доступа и проверках на стороне сервиса/устройств.

Почему это опасно именно для роботов-пылесосов

Пылесос в квартире — это мобильная платформа с обзором пола и маршрутов. Даже если камера направлена не «на лицо», риски всё равно серьёзные:

• можно понять планировку жилья;

• увидеть, когда дома никого нет;

• получить визуальные подсказки о ценностях, привычках и распорядке.

Добавьте сюда карты помещений и историю уборок — и устройство превращается в источник данных, к которому нельзя относиться как к безобидному гаджету.

Реакция DJI: выплаты, патчи и обещание усилить аудит

DJI признала факт вознаграждения исследователю (без публичного упоминания имени), а также сообщила, что одна из ключевых проблем, связанная с доступом к видеопотоку без PIN, была закрыта в конце февраля.

Также компания заявила, что работает над более серьёзными уязвимостями и планирует завершить обновления системы в короткий срок, параллельно запуская внешние аудиты безопасности.

Для отрасли это важный сигнал: производители умного дома начинают относиться к исследователям как к партнёрам, а не как к «неудобным людям», которые портят репутацию.

Какие выводы полезно сделать пользователю прямо сейчас

Даже если конкретная модель у вас другая, принципы одинаковые.

1) Обновления — не опция

Если устройство не обновляется регулярно, оно со временем становится слабым звеном. Проверяйте, включены ли автообновления и не «зависло» ли устройство на старой версии.

2) Отдельная сеть для умного дома

Лучший бытовой лайфхак — выделить IoT-устройства в отдельный Wi‑Fi/гостевую сеть или VLAN. Тогда даже при проблемах с одним гаджетом злоумышленнику сложнее добраться до ноутбуков, телефонов и домашнего NAS.

3) PIN и двухфакторная защита

Если сервис позволяет ставить PIN на видеопоток, подтверждение входа или двухфакторную защиту — включайте. Это не гарантирует абсолютную безопасность, но резко повышает стоимость атаки.

4) Минимизируйте разрешения

Если роботу не нужен постоянный доступ к микрофону или камере — отключайте, если такая опция доступна. Чем меньше данных собирается, тем меньше утечёт.

Почему эта история — не про DJI, а про рынок

Умный дом взрослеет быстрее, чем практика безопасности. Камеры, карты, облачные аккаунты, удалённый доступ — всё это требует зрелых процессов разработки и тестирования.

Случай с Romo показывает простую вещь: даже у крупных брендов могут быть «дырки» не в железе, а в связке «приложение — облако — устройство». И единственный устойчивый ответ — регулярные обновления, аудит и нормальная культура bug bounty.

Вы бы доверили роботу-пылесосу камеру в квартире — или предпочли бы модели без видеосъёмки, даже если они менее «умные»?