كشف باحث أمني عن ثغرة خطيرة في مكانس دي جي آي (DJI Romo) تسمح للمهاجمين بالتحكم بالأجهزة عن بعد والتجسس على المنازل عبر الكاميرات والميكروفونات.
كيف تحولت مكانس دي جي آي لأدوات تجسس؟
بدأت القصة عندما حاول الباحث سامي أزدوفال التحكم في مكنسته الجديدة باستخدام وحدة تحكم بلاي ستيشن 5، ليكتشف بالصدفة أنه لا يتحكم في جهازه فقط، بل انفتح أمامه باب للوصول إلى آلاف الأجهزة حول العالم.
وبحسب ما رصده فريق تيكبامين، فإن التطبيق الذي طوّره الباحث بدأ يتصل بخوادم الشركة، ليفاجأ بردود من حوالي 7000 مكنسة روبوت نشطة في مختلف أنحاء العالم، مما منحه صلاحيات المدير عليها.
ما هي البيانات التي كشفتها الثغرة؟
أظهرت التجربة الحية التي أجراها الباحث إمكانية الوصول لبيانات حساسة للغاية ترسلها الروبوتات كل ثلاث ثوانٍ، تشمل:
- الرقم التسلسلي للجهاز وحالته.
- بث حي للكاميرا والصوت من داخل المنزل.
- خريطة ثنائية الأبعاد (2D) دقيقة لتخطيط الغرف.
- الموقع الجغرافي التقريبي بناءً على عنوان IP.
- حالة البطارية والعوائق التي تواجه الروبوت.
ولم يقتصر الأمر على المكانس، بل شملت الثغرة محطات الطاقة المحمولة من دي جي آي، ليصل عدد الأجهزة المكشوفة إلى أكثر من 10,000 جهاز.
سهولة الاختراق عبر الرقم التسلسلي
أشار أزدوفال إلى أنه استخدم أدوات الذكاء الاصطناعي لعمل هندسة عكسية لبروتوكولات الاتصال، وللتحقق من خطورة الأمر، طلب الرقم التسلسلي لجهاز أحد الصحفيين.
بمجرد إدخال الرقم المكون من 14 خانة، تمكن الباحث من:
- معرفة الغرفة التي يتم تنظيفها حالياً.
- رؤية نسبة شحن البطارية (80%).
- مشاهدة الروبوت وهو يرسم خريطة دقيقة لمنزل الصحفي في الوقت الفعلي.
تؤكد هذه الحادثة ما نحذر منه دائماً في تيكبامين بضرورة تأمين أجهزة إنترنت الأشياء، حيث تحولت هذه الروبوتات الذكية من أدوات مساعدة إلى كاميرات مراقبة محتملة داخل غرف النوم والمعيشة.
