كشفت منصة The Verge عن قصة مثيرة تتعلق بخبير تقني يدعى سامي أزدوفال، الذي تمكن من الوصول إلى آلاف روبوتات التنظيف من نوع DJI Romo حول العالم والتحكم فيها عن بعد، بما في ذلك مشاهدة البث المباشر لكاميراتها، وذلك دون الحاجة لاختراق خوادم الشركة أو كسر أي أنظمة حماية تقليدية.
أزدوفال كان في البداية يحاول فقط ربط جهازه DJI Romo بذراع تحكم من بلايستيشن 5، لكن أثناء تطوير تطبيق بسيط للتواصل مع خوادم DJI، فوجئ بأنه استطاع الوصول إلى حوالي 7 آلاف روبوت في 24 دولة، حيث بدأوا يتعاملون معه وكأنه مالكهم الشرعي، وأرسلوا له بيانات تفصيلية عن نشاطهم.
بيانات تفصيلية عن حركة الروبوت ورسم خرائط المنازل
أشارت The Verge إلى أن الروبوتات كانت ترسل حزم بيانات إلى خوادم DJI كل ثلاث ثوان تقريبًا، تتضمن الرقم التسلسلي للجهاز، والغرف التي ينظفها، والمسافة التي قطعها، والعوائق التي واجهها، بالإضافة إلى خرائط ثنائية الأبعاد للمنازل التي تعمل بها.
أكد التقرير أن أزدوفال استطاع عبر أداة طورها عرض مواقع تقريبية لآلاف الأجهزة على خريطة للعالم، واستخرج خرائط تفصيلية لمساحات معيشة كاملة، حيث أظهر في تجربة حية قدرته على توليد مخطط دقيق لمنزل أحد صحفيي The Verge بمجرد إدخال الرقم التسلسلي للروبوت.
مشاهدة البث المباشر دون إدخال الرقم السري
أوضحت المنصة أن أزدوفال تمكن أيضًا من الوصول إلى البث المباشر لكاميرا جهازه DJI Romo، متجاوزًا رمز الأمان المفترض أن يحمي الوصول، وشارك تجربة مع خبير تقني في فرنسا أكد أنه استطاع مشاهدة ما تنقله الكاميرا قبل إقران الروبوت بهاتفه الشخصي.
أشارت The Verge إلى أن أزدوفال يؤكد أنه لم يخترق خوادم DJI نفسها، بل استخرج “الرمز الخاص” المرتبط بجهازه، وهو عبارة عن مفتاح يمنح المستخدم حق الوصول لبيانات روبوته، لكن ثغرة في نظام صلاحيات الخوادم جعلت هذا الرمز يفتح له بيانات آلاف الأجهزة الأخرى أيضًا.
استجابة DJI المتأخرة وتحديثان لسد الثغرة
أكد التقرير أن DJI بدأت في تقييد نطاق الوصول بعد تواصل أزدوفال وThe Verge مع الشركة، حيث لم يعد بإمكانه قيادة الروبوتات أو مشاهدة البث المباشر بحلول الثلاثاء، ثم توقفت أداته تمامًا عن رؤية أي جهاز، بما في ذلك روبوته الشخصي، صباح الأربعاء، مما يشير إلى أن الشركة أغلقت الثغرة الكبرى.
أوضحت DJI في بيان جديد للمنصة أنها اكتشفت مشكلة في التحقق من الصلاحيات الخلفية في أواخر يناير، وأطلقت تحديثًا أول في 8 فبراير، تبعه تحديث ثانٍ في 10 فبراير ليكتمل سد الثغرة على جميع خوادم MQTT، مؤكدة أن الإصلاح تم تلقائيًا دون حاجة لأي إجراء من المستخدمين.
تفاصيل تقنية عن الخلل في خوادم MQTT
أشارت The Verge إلى أن DJI قالت إن المشكلة لم تكن في تشفير الاتصال، موضحة أن الاتصال بين الروبوت والخادم كان طوال الوقت مشفرًا ببروتوكول TLS، وأن الخلل كان في آلية ضبط الصلاحيات داخل خوادم MQTT، مما أتاح نظريًا لعميل واحد مصرح له الاشتراك في قنوات بيانات أجهزة أخرى.
ذكر البيان أن الشركة تعتبر أن حالات الوصول غير المصرح به للفيديوهات كانت نادرة للغاية، وأن معظم النشاط الذي رُصد كان من باحثين أمنيين يختبرون أجهزتهم الخاصة تمهيدًا للإبلاغ عن الثغرة ضمن برنامج مكافآت الأخطاء المعتمد لدى DJI.
مخاوف من سهولة الوصول إلى بيانات
أكد التقرير أن أزدوفال وخبراء أمن آخرين حذروا من أن تخزين البيانات على خوادم في الولايات المتحدة لا يمنع عمليًا موظفين في دول أخرى من الوصول إليها، ما دام لديهم صلاحيات داخلية على الخوادم، مما يثير تساؤلات عن مستوى العزل بين الأطراف المصرح لها.
أوضح الباحثون أن استخدام بروتوكول MQTT يتطلب تفعيل قوائم تحكم دقيقة على مستوى موضوعات البيانات، وأن غياب هذه الضوابط يسمح لعميل واحد مصرح له بالاشتراك في قنوات واسعة ورؤية الرسائل في صورة نص واضح عند طبقة التطبيق، حتى لو كان الاتصال مشفرًا على مستوى النقل.
سجال حول الشفافية ومستقبل ثقة المستهلكين
أشارت The Verge إلى أن هذه الحادثة تأتي في سياق أوسع من الانتقادات الموجهة لشركات الأجهزة المنزلية الذكية بسبب ثغرات أمنية متكررة، بعد حوادث مشابهة طالت روبوتات من شركات أخرى في السنوات الماضية، وكذلك كاميرات مراقبة من شركات شهيرة.
أكد التقرير أن DJI لم تكشف علنًا عن الثغرة قبل نشر التحقيق، لكنها أقرت في بيانها الأخير بنطاق المشكلة وطبيعتها بعد استفسارات متكررة من الصحفيين، بينما يرى أزدوفال أن نشر التفاصيل بسرعة كان ضروريًا لتقليص فترة الخطر، في حين تظل أسئلة المستخدمين قائمة حول مدى أمان وجود كاميرا وميكروفون في جهاز تنظيف يتجول بحرية داخل منازلهم.