یک نقص امنیتی گسترده در جاروبرقیهای رباتیک DJI Romo باعث شد اطلاعات و کنترل بیش از 6,700 دستگاه در سراسر جهان در معرض دسترسی غیرمجاز قرار بگیرد. این مشکل که به صورت اتفاقی کشف شد، بار دیگر زنگ خطر جدی درباره امنیت دستگاه های هوشمند و نحوه نگهداری داده ها روی سرورها را به صدا درآورده است.
یک نقص امنیتی جدی که باعث دسترسی غیرمجاز به هزاران جاروبرقی رباتیک DJI Romo شده بود، به طور ناخواسته پس از آن فاش شد که یک فرد علاقهمند به فناوری، اپلیکیشنی برای کنترل جاروبرقی شخصی خود با دسته پلیاستیشن ساخت.
طبق گزارش Tomshardware، این نقص امنیتی به اپلیکیشن اجازه میداد نقشههای دقیق خانه، تصاویر زنده دوربین، صدای میکروفون و حتی کنترل کامل از راه دور دستگاههای آسیب دیده را در اختیار بگیرد.
کشف اتفاقی یک آسیب بسیار بزرگ
این مشکل به صورت اتفاقی توسط یک استراتژیست حوزه هوش مصنوعی کشف شد. او با استفاده از Claude Code پروتکل ارتباطی جاروبرقی DJI Romo با سرورهای شرکت را مهندسی معکوس کرده بود. اما به جای اینکه فقط به دستگاه خودش دسترسی پیدا کند، این فرایند عملاً کلید دسترسی به حدود 6,700 جاروبرقی رباتیک در سراسر جهان را در اختیار او قرار داد.
این کاربر تأکید کرده که هیچ گونه نفوذ یا هک مستقیمی به سیستمهای DJI انجام نداده است. او تنها توکن خصوصی جاروبرقی شخصی خود را استخراج کرده و به گفته خودش هیچ قانون یا محدودیتی را دور نزده، کرک نکرده یا حمله brute force انجام نداده است. با همین اطلاعات، او توانسته بود به سرورهای فعال در آمریکا، اروپا و حتی چین دسترسی پیدا کند.
خوشبختانه، او از این دسترسی برای نقض حریم خصوصی دیگران استفاده نکرد. در عوض، بلافاصله DJI را در جریان این نقص امنیتی قرار داد و این شرکت در نهایت با انتشار چند به روزرسانی، مشکل را بدون نیاز به هیچ اقدامی از سوی کاربران برطرف کرد.
در همین رابطه بخوانید:
– راهکارهای افزایش امنیت اطلاعات کامپیوتر + اشتباهات رایج
با این حال، این استراتژیست هوش مصنوعی معتقد است هنوز چند ایراد مهم باقی مانده که DJI باید به آنها رسیدگی کند.
از جمله این مشکلات، امکان پخش زنده تصویر دوربین جاروبرقی DJI Romo بدون نیاز به PIN امنیتی است، به علاوه یک نقص امنیتی دیگر که به دلیل شدت بالا، جزئیات آن منتشر نشده است. مهمتر از همه، گفته شده که ریشه اصلی این مشکل، رمزنگاری ارتباطات نیست بلکه این واقعیت است که تمام دادهها به صورت plain text روی سرورها ذخیره میشوند و هر فردی که به سرور دسترسی پیدا کند، به راحتی میتواند این اطلاعات را بخواند.
