Post #2145

Испанец случайно получил доступ к тысячам пылесосов DJI Romo Sammy Azzufall просто хотел управлять своим новым DJI Romo с геймпада PS5. Для реверс-инжиниринга он использовал Клод. Модель декомпилировала приложение DJI, извлекла токен аутентификации и помогла собрать кастомный клиент. Но при подключении к серверам DJI ответили не один, а ~7000 пылесосов из 24 стран. За 9 минут его ноутбук получил 100k+ пакетов: серийники, карты помещений, маршруты уборки. С учетом зарядок DJI Power - доступ к 10k устройств. Аздуфаль мог: • Смотреть трансляции с камер • Слушать через микрофоны • Строить точные 2D-планы квартир Журналисту The Verge он доказал это так – по серийнику определил местоположение пылесоса, заряд (80%) и реконструировал план дома - из другой страны. DJI заявила об устранении уязвимости, но Аздуфаль через 30 минут показал что доступ остался. После двух февральских патчей (8 и 10 числа) часть дыр, включая обход PIN-кода камер, все еще открыта. Сам Аздуфаль не хакер, он CEO компании по аренде жилья. Он просто использовал LLM для извлечения своего токена, а сервер отдал ему чужие данные. +1 фобия.