بحران امنیتی در جاروبرقی رباتیک  DJI؛ دسترسی غیرمجاز به دوربین و نقشه خانه هزاران کاربر

شرکت DJI که عمدتاً با پهپادهای خود شناخته می‌شود، اخیراً وارد بازار جاروبرقی‌های رباتیک با مدل DJI Romo  شده است. اما ورود به این حوزه، حالا با یک جنجال امنیتی گسترده همراه شده است. بر اساس گزارش‌ها، یک حفره امنیتی جدی در این دستگاه شناسایی شده که حریم خصوصی هزاران کاربر را تهدید می‌کند.

این موضوع زمانی علنی شد که  «سامی ازدوفال»  (Sammy Azdoufal)، مدیر استراتژی هوش مصنوعی در یک شرکت اجاره ویلا، برای سرگرمی تلاش کرد جاروبرقی خود را با کنترلر PS5  هدایت کند. اما زمانی که اپلیکیشن دست‌ساز او با سرورهای DJI ارتباط برقرار کرد، به جای جاروبرقی خودش، حدود ۷,۰۰۰ دستگاه از سراسر جهان به دستورات او پاسخ دادند.

جزئیات هک و دسترسی غیرمجاز

ازدوفال در گفتگو با The Verge توضیح داده که بدون هیچ هک پیچیده‌ای و تنها با استخراج توکن شخصی دستگاه خود، توانسته به اطلاعات هزاران کاربر دیگر دسترسی پیدا کند. او موفق شد جاروبرقی‌ها را هدایت کند، تصاویر زنده دوربین آن‌ها را مشاهده کند، صدای محیط را بشنود، نقشه دوبعدی دقیق طبقات خانه‌ها را دریافت کند و حتی موقعیت تقریبی دستگاه‌ها را از طریق آدرس IP شناسایی کند.

برای اثبات ادعای خود، ازدوفال یک دموی زنده برگزار کرد: در عرض ۹ دقیقه، لپ‌تاپ او ۶,۷۰۰ دستگاه DJI را در ۲۴ کشور شناسایی کرد و بیش از ۱۰۰ هزار پیام شامل شماره سریال، وضعیت شارژ، اطلاعات اتاق‌ها و موانع مسیر دریافت کرد. حتی زمانی که خبرنگار The Verge شماره سریال جاروبرقی خود را به او داد، ازدوفال توانست در چند دقیقه موقعیت و نقشه دقیق خانه او را روی مانیتور مشاهده کند.

این حادثه نشان می‌دهد که ورود شرکت‌های بزرگ به بازار محصولات متصل به اینترنت (IoT) بدون تمرکز کافی بر امنیت می‌تواند پیامدهای جدی برای حریم خصوصی کاربران داشته باشد. چنین حفره‌هایی، علاوه بر تهدید امنیتی، اعتماد مصرف‌کنندگان را نیز خدشه‌دار می‌کند. برای DJI و سایر تولیدکنندگان، این هشدار مهمی است که پیش از توسعه امکانات جدید، امنیت داده‌ها و حفاظت از حریم خصوصی کاربران باید در اولویت قرار گیرد.

واکنش DJI به بحران امنیتی جاروبرقی‌های رباتیک

شرکت DJI  در ابتدا مدعی شد که مشکل امنیتی جاروبرقی‌های رباتیک خود را پیش‌تر برطرف کرده است، اما شواهد نشان داد این ادعا صحت ندارد و «سامی ازدوفال» همچنان توانست به هزاران دستگاه دسترسی پیدا کند. تنها پس از فشار گسترده رسانه‌ها، DJI  مجبور شد وجود یک «مشکل سطح دسترسی در بخش بک‌اند» را به‌طور رسمی تأیید کند. در بیانیه شرکت آمده است:

«این آسیب‌پذیری مربوط به نقصی در سیستم تأیید سطح دسترسی بک‌اند (Backend Permission Validation) است که بر ارتباطات مبتنی بر پروتکل MQTT بین دستگاه و سرور تأثیر می‌گذارد. هرچند این نقص پتانسیل دسترسی غیرمجاز به ویدیوهای زنده دستگاه‌های ROMO را داشت، تحقیقات ما نشان می‌دهد که وقوع واقعی چنین موردی بسیار نادر بوده است. تقریباً تمام فعالیت‌های شناسایی‌شده مربوط به محققان امنیتی مستقل بود و تنها چند مورد استثنایی احتمالی وجود داشت.»

با وجود این ادعا، ازدوفال معتقد است که هنوز آسیب‌پذیری‌های دیگری باقی مانده که DJI تمایلی به رسیدگی به آن‌ها ندارد. از سوی دیگر، عمومی شدن این بحران باعث شده کارشناسان امنیتی هشدار دهند که حتی اگر سرورهای DJI در آمریکا مستقر باشند، کارمندان این شرکت در چین همچنان امکان دسترسی به داده‌های حساس کاربران را دارند.

واکنش DJI نشان می‌دهد که شرکت‌ها گاهی پس از افشای بحران‌های امنیتی، سعی می‌کنند موضوع را کم‌اهمیت جلوه دهند، اما واقعیت این است که حتی یک نقص کوچک در محصولات متصل به اینترنت می‌تواند اعتماد کاربران را به‌شدت خدشه‌دار کند. این اتفاق، به ویژه برای دستگاه‌های خانگی که حریم خصوصی را مستقیماً در معرض تهدید قرار می‌دهند، زنگ خطری جدی برای تمامی تولیدکنندگان IoT است. شفافیت کامل و پاسخ سریع به این نوع آسیب‌پذیری‌ها نه تنها امنیت کاربران را تضمین می‌کند، بلکه اعتبار برند را نیز حفظ خواهد کرد.