EN
كشفت منصة The Verge أن خبيرًا في مجال التقنية يدعى سامي أزدوفال تمكن من الوصول عن بعد إلى آلاف روبوتات التنظيف DJI Romo حول العالم، والتحكم فيها ومشاهدة بث الكاميرا المباشر، دون اختراق خوادم الشركة أو كسر أي نظام حماية تقليدي.
أوضحت المنصة أن أزدوفال كان يحاول في البداية فقط ربط جهاز DJI Romo الخاص به بذراع تحكم من بلايستيشن 5، لكنه عند تطوير تطبيق بسيط للتواصل مع خوادم DJI فوجئ بأن حوالى 7 آلاف روبوت في 24 دولة بدأت تتعامل معه كما لو كان صاحبها الشرعي، وترسل له بيانات تفصيلية عن نشاطها.
بيانات تفصيلية عن حركة الروبوت ورسم خرائط المنازل
أشارت The Verge إلى أن الروبوتات كانت ترسل حزم بيانات (MQTT) إلى خوادم DJI كل ثلاث ثوانٍ تقريبًا، تتضمن الرقم التسلسلي للجهاز، والغرف التي ينظفها، والمسافة التي قطعها، والعوائق التي واجهها، بالإضافة إلى خرائط ثنائية الأبعاد للمنازل التي يعمل بداخلها.
أكد التقرير أن أزدوفال استطاع عبر أداة طورها أن يعرض على خريطة للعالم مواقع تقريبية لآلاف الأجهزة، وأن يسحب خرائط تفصيلية لمساحات معيشة كاملة، حيث أظهر في تجربة حية قدرته على توليد مخطط دقيق لمنزل أحد صحفيي The Verge بمجرد إدخال الرقم التسلسلي للروبوت فقط.
مشاهدة البث المباشر دون إدخال الرقم السري
أوضحت المنصة أن أزدوفال نجح أيضًا في الوصول إلى البث المباشر لكاميرا جهازه DJI Romo، متجاوزًا رمز الأمان (PIN) الذي يفترض أن يحمي الوصول، ثم شارك تجربة أخرى مع خبير تقني في فرنسا أكد بدوره أن النسخة “للقراءة فقط” من الأداة أتاحت له مشاهدة ما تنقله الكاميرا قبل إقران الروبوت بهاتفه الشخصي.
أشارت The Verge إلى أن أزدوفال يؤكد أنه لم يخترق خوادم DJI نفسها، بل استخرج “الرمز الخاص” المرتبط بجهازه، وهو عبارة عن مفتاح يمنح المستخدم حق الوصول لبيانات روبوته، لكن ثغرة في نظام صلاحيات الخوادم جعلت هذا الرمز يفتح أمامه بيانات آلاف الأجهزة الأخرى أيضًا.
استجابة DJI المتأخرة وتحديثان لسد الثغرة
أكد التقرير أن DJI بدأت في تقييد نطاق الوصول بعد تواصل أزدوفال وThe Verge مع الشركة، حيث لم يعد بإمكانه قيادة الروبوتات أو مشاهدة البث المباشر بحلول الثلاثاء، ثم توقفت أداته تمامًا عن رؤية أي جهاز – بما في ذلك روبوته الشخصي – صباح الأربعاء، ما يشير إلى أن الشركة أغلقت “الثغرة الكبرى”.
أوضحت DJI في بيان جديد للمنصة أنها اكتشفت “مشكلة في التحقق من الصلاحيات الخلفية” في أواخر يناير، وأطلقت تحديثًا أول في 8 فبراير، تبعه تحديث ثانٍ في 10 فبراير ليكتمل سد الثغرة على جميع خوادم MQTT، مؤكدة أن الإصلاح تم تلقائيًا دون حاجة لأي إجراء من المستخدمين.
تفاصيل تقنية عن الخلل في خوادم MQTT
أشارت The Verge إلى أن DJI قالت إن المشكلة لم تكن في تشفير الاتصال، موضحة أن الاتصال بين الروبوت والخادم كان طوال الوقت مشفرًا ببروتوكول TLS، وأن الخلل كان في آلية ضبط الصلاحيات داخل خوادم MQTT، ما أتاح نظريًا لعميل واحد مصرح له أن يشترك في قنوات بيانات أجهزة أخرى.
ذكر البيان أن الشركة تعتبر أن حالات الوصول غير المصرح به للفيديوهات كانت “نادرة للغاية”، وأن معظم النشاط الذي رُصد كان من باحثين أمنيين يختبرون أجهزتهم الخاصة تمهيدًا للإبلاغ عن الثغرة ضمن برنامج مكافآت الأخطاء المعتمد لدى DJI.
مخاوف من سهولة الوصول إلى بيانات
أكد التقرير أن أزدوفال وخبراء أمن آخرين حذّروا من أن تخزين البيانات على خوادم في الولايات المتحدة لا يمنع عمليًا موظفين في دول أخرى من الوصول إليها، ما داموا يملكون صلاحيات داخلية على الخوادم، وهو ما يثير تساؤلات عن مستوى العزل بين الأطراف المصرح لها.
أوضح الباحثون أن استخدام بروتوكول MQTT يتطلب تفعيل قوائم تحكم دقيقة على مستوى “موضوعات البيانات” (Topic‑level ACLs)، وأن غياب هذه الضوابط يسمح لعميل واحد مصرح له بالاشتراك في قنوات واسعة (#) ورؤية الرسائل في صورة نص واضح عند طبقة التطبيق، حتى لو كان الاتصال مشفرًا على مستوى النقل.
سجال حول الشفافية ومستقبل ثقة المستهلكين
أشارت The Verge إلى أن هذه الحادثة تأتي في سياق أوسع من الانتقادات الموجهة لشركات الأجهزة المنزلية الذكية بسبب ثغرات أمنية متكررة، بعد حوادث مشابهة طالت روبوتات من Ecovacs وDreame وNarwal في السنوات الماضية، وكذلك كاميرات مراقبة من شركات مثل Wyze وEufy.
أكد التقرير أن DJI لم تكشف علنًا عن الثغرة قبل نشر التحقيق، لكنها أقرت في بيانها الأخير بنطاق المشكلة وطبيعتها بعد استفسارات متكررة من الصحفيين، بينما يرى أزدوفال أن نشر التفاصيل بسرعة كان ضروريًا لتقليص فترة الخطر، في حين تظل أسئلة المستخدمين قائمة حول مدى أمان وجود كاميرا وميكروفون في جهاز تنظيف يتجول بحرية داخل منازلهم.
