Пользователь получил доступ к тысячам устройств благодаря ИИ-программе и роботу-пылесосу

Вайб-кодер Сэмми Аздуфал решил подключить геймпад PS5 к своему роботу-пылесосу и попросил нейросеть помочь с программой для управления устройством. ИИ справился с задачей: получился рабочий клиент, который позволял вручную управлять пылесосом.

Проблема вскрылась позже. Вместе с управлением собственным пылесосом этот же код внезапно начал получать ответы от множества других устройств. В результате приложение увидело не один пылесос, а целый набор чужой техники — речь шла не только о тысячах роботов-пылесосов, но и другой техники.

Проблема крылась в серверной системе обмена сообщениями. Там не было нормальной проверки прав доступа на уровне каналов. То есть после авторизации токеном одного устройства клиент мог видеть трафик других устройств и читать данные, которые не должны были быть доступны постороннему.

По описанию инцидента, это открывало доступ к телеметрии и функциям, которые в случае бытовой техники особенно чувствительны: статус уборки, построение карты помещения, а в моделях с камерой и микрофоном — потенциально и к медиа-функциям. Производитель заявлял, что проблему закрывали патчами, но исследователь указывал, что часть уязвимостей могла сохраняться.

Источник: malwarebytes.com