🛠️ Francuski pentester prowadząc analizę wsteczną odkurzaczy DJI odkrył mechanizm (schemat) generowania kodów dostępu do odkurzaczy. Dzięki temu uzyskał dostęp do ponad 6 tys. urządzeń na całym świecie – mógł kontrolować je (sterować odkurzaczami), słuchać audio z mikrofonów w nich wbudowanych i oglądać obraz z ich kamer.

🧩 Odkrył, że wygenerowany token dostępowy do jego urządzenia może pasować do wielu innych, a przy okazji odnalazł schemat generowania kluczy i uzyskiwania zdalnego dostępu maszyn w prawie 30 różnych krajach.

🎮 Udało mu się nawet połączyć te urządzenia z kontrolerem z konsoli Playstation! Wykonywał to poprzez niezabezpieczony serwer kolejkujący komunikaty – mógł wygenerować kolejne polecenia, ustawić w kolejce do wysyłki, które następnie były dostarczane do odkurzaczy na całym świecie (lub konkretnego wybranego).

📢 Lukę zgłosił producentowi DJI, który szybko usunął tę podatność.