جاروبرقی‌های رباتیک DJI نقشه خانه‌تان را لو می‌دهند؟

یک پژوهشگر امنیتی به نام سمی آزدوغال، هنگام تلاش برای کنترل جاروبرقی رباتیک جدیدش (DJI Romo) با دسته پلی‌استیشن، به طور ناخواسته به داده‌های هزاران دستگاه مشابه در سراسر جهان دسترسی پیدا کرد. این نقص امنیتی جدی، اطلاعات حساسی مانند نقشه خانه‌ها را در معرض دید قرار داد.

کشف ناخواسته یک شکاف امنیتی

آزدوغال قصد هک کردن را نداشت، اما اپلیکیشن دست‌سازش پس از اتصال به سرورهای DJI، پاسخ حدود ۷۰۰۰ دستگاه از سراسر جهان را دریافت کرد. این دستگاه‌ها هر سه ثانیه اطلاعاتی شامل شماره سریال، وضعیت نظافت، نقشه خانه، میزان باتری و موقعیت تقریبی خود را ارسال می‌کردند.

آزمایش زنده و گستردگی مشکل

در یک آزمایش زنده ۹ دقیقه‌ای، بیش از ۶۷۰۰ دستگاه در ۲۴ کشور شناسایی و بیش از ۱۰۰ هزار پیام از آن‌ها دریافت شد. آزدوغال با داشتن تنها شماره سریال یک دستگاه می‌توانست وضعیت لحظه‌ای آن، مانند اتاقی که در آن مشغول تمیزکاری است و درصد شارژ باتری، را مشاهده کند. دسترسی به نقشه کامل خانه نیز ممکن بود.

ماهیت نقص و واکنش شرکت

به گفته این پژوهشگر، او سرورها را هک نکرده بود، بلکه تنها با استخراج توکن (کلید دسترسی) دستگاه خود و به دلیل یک نقص در بررسی سطح دسترسی، سرورها اطلاعات سایر دستگاه‌ها را نیز برایش ارسال کردند. داده‌ها از طریق پروتکل MQTT و به صورت متن ساده (بدون رمزگذاری مناسب) منتقل می‌شدند.

پس از اطلاع‌رسانی به DJI، این شرکت ابتدا اعلام کرد مشکل برطرف شده، اما دسترسی گسترده همچنان وجود داشت. سرانجام تا روز بعد دسترسی‌ها کاملاً قطع و حفره امنیتی بسته شد. DJI بعداً وجود «اشکال در اعتبارسنجی سطح دسترسی در بک‌اند» را تأیید کرد.

هشدار برای امنیت خانه‌های هوشمند

این ماجرا نگرانی‌های جدی درباره امنیت دستگاه‌های خانگی هوشمند ایجاد کرده است. وقتی یک جاروبرقی رباتیک مجهز به دوربین و میکروفون، اطلاعات خصوصی خانه را روی سرورهای ابری ذخیره می‌کند، کاربران انتظار دارند داده‌هایشان به خوبی محافظت شود.

منبع: asriran.com

تکنولوژی