تمكن باحث أمني، يُدعى سامي أزدوفال، من اختراق الآلاف من روبوتات التنظيف من طراز DJI Romo حول العالم، حيث كشف عن ثغرة أمنية خطيرة سمحت له بالتحكم عن بُعد في الأجهزة، ومشاهدة بث الكاميرا المباشر، والحصول على مخططات دقيقة لمنازل المستخدمين.

بدأت القصة عندما حاول أزدوفال تطوير تطبيق خاص للتحكم بروبوت التنظيف الجديد الخاص به عبر وحدة تحكم ألعاب PS5، بدافع التجربة الممتعة. لكن المفاجأة كانت حينما بدأ التطبيق بالتواصل مع خوادم DJI، ليجد أن ما يقارب 7000 مكنسة روبوتية، بالإضافة إلى أكثر من 10000 جهاز آخر مثل محطات الطاقة المحمولة، استجابت له وكأنه المسؤول عنها.

هذا الاختراق المذهل مكّن أزدوفال من التحكم الكامل في الروبوتات، بما في ذلك الوصول إلى بث الكاميرا الحي ومراقبة عملية رسم الخرائط الداخلية للغرف، مما أتاح له إنشاء مخططات ثنائية الأبعاد للمنازل، وتحديد المواقع التقريبية للأجهزة عبر عناوين IP. ووفقًا لتقرير نشره موقع The Verge، أظهر أزدوفال خريطة عالمية تضم مواقع آلاف أجهزة DJI في 24 دولة.

خلال تسع دقائق فقط، جمع أزدوفال أكثر من 100000 حزمة بيانات (MQTT) تحتوي على معلومات حساسة مثل الأرقام التسلسلية، حالة البطارية، ومسافة السير، وملاحظات الغرف. وقد نجح بالوصول إلى بيانات آنية لأحد الأجهزة، بما في ذلك نشاطه ومستوى البطارية، وقام بإنشاء مخطط دقيق لمنزل في دولة أخرى باستخدام رقم تسلسلي مسروق.

أوضح أزدوفال أنه لم يخترق خوادم DJI مباشرة، بل استخلص مفاتيح المصادقة الخاصة بالجهاز، والتي تم التحقق منها عبر خوادم في الولايات المتحدة والصين والاتحاد الأوروبي. ورغم أن أداة الاختراق الخاصة به كانت مصممة لمسح البيانات عند الإغلاق، إلا أن DJI قامت بتحديثات سريعة بعد إبلاغها، حيث اعترفت بوجود "مشكلة في التحقق من صلاحية الاتصال الخلفي (MQTT)"، وأصدرت تصحيحات في 8 و10 فبراير عبر تحديثات تلقائية، مع تفعيل تشفير البيانات عبر TLS.

يسلط هذا الحادث الضوء مجددًا على المخاوف الأمنية المتعلقة بالأجهزة المنزلية المتصلة بالإنترنت (IoT) التي تحتوي على كاميرات وميكروفونات، وهي قضايا ظهرت سابقًا مع أجهزة تنظيف أخرى مثل Ecovacs وNarwal.