انتشار شده در تاریخ 1404/12/05 - 09:47

رکوردی نگران کننده؛ دسترسی غیرمجاز به دوربین و میکروفون هزاران جاروبرقی‌ هوشمند

یک نقص امنیتی گسترده در جاروبرقی‌های رباتیک DJI Romo باعث شد اطلاعات و کنترل بیش از 6,700 دستگاه در سراسر جهان در معرض دسترسی غیرمجاز قرار بگیرد.

به گزارش کارگروه امنیت سایبربان , یک نقص امنیتی گسترده در جاروبرقی‌های رباتیک DJI Romo باعث شد اطلاعات و کنترل بیش از 6,700 دستگاه در سراسر جهان در معرض دسترسی غیرمجاز قرار بگیرد. این مشکل که به صورت اتفاقی کشف شد، بار دیگر زنگ خطر جدی درباره امنیت دستگاه های هوشمند و نحوه نگهداری داده ها روی سرورها را به صدا درآورده است.

یک نقص امنیتی جدی که باعث دسترسی غیرمجاز به هزاران جاروبرقی رباتیک DJI Romo شده بود، به طور ناخواسته پس از آن فاش شد که یک فرد علاقه‌مند به فناوری، اپلیکیشنی برای کنترل جاروبرقی شخصی خود با دسته پلی‌استیشن ساخت.

طبق گزارش Tomshardware، این نقص امنیتی به اپلیکیشن اجازه می‌داد نقشه‌های دقیق خانه، تصاویر زنده دوربین، صدای میکروفون و حتی کنترل کامل از راه دور دستگاه‌های آسیب دیده را در اختیار بگیرد.

کشف اتفاقی یک آسیب بسیار بزرگ

این مشکل به صورت اتفاقی توسط یک استراتژیست حوزه هوش مصنوعی کشف شد. او با استفاده از Claude Code پروتکل ارتباطی جاروبرقی DJI Romo با سرورهای شرکت را مهندسی معکوس کرده بود. اما به جای اینکه فقط به دستگاه خودش دسترسی پیدا کند، این فرایند عملاً کلید دسترسی به حدود 6,700 جاروبرقی رباتیک در سراسر جهان را در اختیار او قرار داد.

این کاربر تأکید کرده که هیچ گونه نفوذ یا هک مستقیمی به سیستم‌های DJI انجام نداده است. او تنها توکن خصوصی جاروبرقی شخصی خود را استخراج کرده و به گفته خودش هیچ قانون یا محدودیتی را دور نزده، کرک نکرده یا حمله brute force انجام نداده است. با همین اطلاعات، او توانسته بود به سرورهای فعال در آمریکا، اروپا و حتی چین دسترسی پیدا کند.

خوشبختانه، او از این دسترسی برای نقض حریم خصوصی دیگران استفاده نکرد. در عوض، بلافاصله DJI را در جریان این نقص امنیتی قرار داد و این شرکت در نهایت با انتشار چند به روزرسانی، مشکل را بدون نیاز به هیچ اقدامی از سوی کاربران برطرف کرد.

با این حال، این استراتژیست هوش مصنوعی معتقد است هنوز چند ایراد مهم باقی مانده که DJI باید به آنها رسیدگی کند.

از جمله این مشکلات، امکان پخش زنده تصویر دوربین جاروبرقی DJI Romo بدون نیاز به PIN امنیتی است، به علاوه یک نقص امنیتی دیگر که به دلیل شدت بالا، جزئیات آن منتشر نشده است. مهم‌تر از همه، گفته شده که ریشه اصلی این مشکل، رمزنگاری ارتباطات نیست بلکه این واقعیت است که تمام داده‌ها به صورت plain text روی سرورها ذخیره می‌شوند و هر فردی که به سرور دسترسی پیدا کند، به راحتی می‌تواند این اطلاعات را بخواند.