بدأت القصة بمحاولة بسيطة للتحكم في مكنسة روبوتية باستخدام ذراع تحكم “بلاي ستيشن 5″، لكنها انتهت بالكشف عن واحدة من أخطر الثغرات الأمنية في قطاع الأجهزة المنزلية الذكية. فقد اكتشف “سامي أزدوفال” أنه تمكن من الوصول إلى أكثر من 7000 مكنسة من طراز DJI Romo حول العالم، ليس فقط للتحكم في حركتها، بل لمراقبة منازل أصحابها بالصوت والصورة.
التحكم في أسطول من الروبوتات حول العالم
أوضح أزدوفال في تصريحاته لموقع “ذا فيرج” التقني، أنه أثناء محاولته ربط تطبيقه الخاص بخوادم شركة DJI، وجد نفسه “قائداً” لجيش من المكانس الكهربائية. تمكن الباحث من الوصول إلى بيانات دقيقة لآلاف الأجهزة، شملت بثاً حياً للكاميرات، الميكروفونات، وخرائط ثنائية الأبعاد دقيقة لكل غرفة في منازل المستخدمين. وبالاعتماد على عناوين IP الخاصة بالأجهزة، استطاع تحديد المواقع الجغرافية التقريبية لهذه المكانس في 24 دولة مختلفة.
خلال عرض حي، أظهر أزدوفال كيف قامت مئات الأجهزة بإرسال بياناتها كل ثلاث ثوانٍ، متضمنة الأرقام التسلسلية، وحالة التنظيف، والعقبات التي واجهتها. وبإضافة محطات الطاقة المحمولة “DJI Power” التي تستخدم نفس الخوادم، ارتفع عدد الأجهزة التي كان بإمكانه الوصول إليها إلى أكثر من 10,000 جهاز.
ثغرة برمجية بسيطة ونتائج كارثية
المثير للقلق هو أن أزدوفال لم يقم بعملية “اختراق” معقدة أو كسر للحماية بالمعنى التقليدي. فمن خلال استخراج “الرمز الخاص” (Private Token) لمكنسته الشخصية، منحت خوادم DJI إمكانية الوصول إلى بيانات آلاف المستخدمين الآخرين. وأكد الباحث أن بروتوكولات MQTT التي تستخدمها الشركة كانت تفتقر إلى ضوابط وصول مناسبة على مستوى العناوين، مما جعل البيانات متاحة بنصوص واضحة بمجرد الاتصال بالخادم.
وعلى الرغم من تأكيدات DJI بأن البيانات مشفرة عبر بروتوكول TLS، إلا أن أزدوفال وفريقاً من الباحثين الأمنيين أكدوا أن التشفير يحمي “أنبوب” نقل البيانات فقط، لكنه لا يمنع أي عميل موثق داخل النظام من قراءة محتوى الرسائل إذا كانت الصلاحيات غير مضبوطة بشكل صحيح.
رد شركة DJI ومخاوف الخصوصية المتزايدة
في البداية، ادعت شركة DJI أنها قامت بإصلاح الثغرة قبل الكشف عنها علناً، وهو ما نفاه الواقع العملي حيث ظل أزدوفال قادراً على الوصول للأجهزة بعد هذا الادعاء. لاحقاً، أقرت الشركة بوجود “مشكلة في التحقق من أذونات الواجهة الخلفية” وأكدت أنها نشرت تحديثين في فبراير لإغلاق هذه الثغرة بشكل كامل وتلقائي دون حاجة لتدخل المستخدم.
تأتي هذه الحادثة في وقت حساس لشركة DJI الصينية، التي تواجه ضغوطاً سياسية وأمنية في الولايات المتحدة. ومن شأن هذا الخرق أن يعزز المخاوف من قدرة الموظفين أو القراصنة على استغلال هذه الأجهزة للتجسس داخل المنازل، خاصة وأن المكنسة مزودة بميكروفون وكاميرا وخرائط دقيقة للمساحات الداخلية.
أزمة أمنية أوسع في قطاع المنازل الذكية
لا تعد DJI الشركة الوحيدة التي سقطت في هذا الفخ الأمني؛ ففي عام 2024، تعرضت مكانس “Ecovacs” لاختراق سمح للمهاجمين بالتحكم في الأجهزة وتوجيه إهانات صوتية لأصحابها. كما واجهت شركات أخرى مثل “Wyze” و”Eufy” انتقادات حادة بسبب ثغرات مماثلة تسببت في تسريب بث الكاميرات المنزلية.
ويرى الخبراء أن هذه الحوادث تثير تساؤلاً جوهرياً حول ضرورة وجود ميكروفونات وكاميرات متصلة بالإنترنت في أجهزة التنظيف المنزلية، محذرين من أن الاعتماد الكلي على السحابة (Cloud) دون تأمين صارم يحول هذه الأجهزة الذكية إلى أدوات تجسس محتملة داخل أكثر الأماكن خصوصية.
المصدر: The Verge
اترك تعليقاً