- تمكن أحد المستخدمين عن طريق الخطأ من الوصول إلى آلاف المكانس الكهربائية من DJI Romo في جميع أنحاء العالم
- تم الكشف عن البيانات الحساسة، بما في ذلك مخططات الطوابق وموجزات الفيديو المباشرة عبر الإنترنت
- كان تشفير الاتصالات سليمًا، لكن تخزين الخادم ظل غير محمي تمامًا
اكتشف أحد الهواة أن مكنسة DJI Romo الخاصة به سمحت عن غير قصد بالوصول إلى آلاف الأجهزة الأخرى.
استخدم سامي أزدوفال، وهو خبير استراتيجي في مجال الذكاء الاصطناعي، الهندسة العكسية لفهم كيفية تواصل Romo مع خوادم DJI. ولم يخترق أنظمة DJI أو يتجاوز التشفير، ولم يستخدم القوة الغاشمة أو غيرها من الأساليب غير المشروعة.
كان يحاول التحكم في الروبوت الخاص به باستخدام وحدة تحكم PlayStation عندما أعاد البروتوكول الرموز الخاصة للمكانس الكهربائية الإضافية، بما في ذلك أكثر من 6700 جهاز موجود في مناطق متعددة، بما في ذلك الولايات المتحدة وأوروبا والصين.
الاكتشاف والتفاصيل الفنية
كانت المشكلة الأساسية هي أن بيانات الجهاز تم تخزينها بنص عادي على الخادم، مما سمح لأي شخص تمكن من الوصول إلى قراءة مخططات المبنى وموجزات الفيديو المباشرة وإدخال الميكروفون.
لم يكن التشفير الذي يحمي الاتصالات معيبًا، إلا أن تخزين البيانات كشف معلومات حساسة لأي شخص لديه إمكانية الوصول.
أبلغت شركة Azdoufal شركة DJI على الفور بالثغرة، وأصدرت الشركة تحديثات لمعالجة العديد من المشكلات دون الحاجة إلى تدخل المستخدم.
لا تزال هناك بعض الثغرات الأمنية، بما في ذلك القدرة على بث الفيديو بدون رقم التعريف الشخصي للأمان ومشكلة أخرى لم يتم الكشف عنها بسبب خطورتها.
تشير هذه المشكلات المتبقية إلى أن تخزين البيانات من جانب الخادم والتحكم في الوصول لا يزال بحاجة إلى الاهتمام.
لسوء الحظ، هذه ليست حالة معزولة – فقد اكتشف أحد المهندسين سابقًا أن مكنسة iLife A11 الذكية الخاصة به ترسل باستمرار السجلات والقياس عن بعد إلى الشركة المصنعة.
وعندما قام بحظر الإبلاغ عبر شبكته، قامت الشركة بتعطيل الجهاز عن بعد.
وباستخدام التعديلات الفنية، تمكن من استعادة الوظائف المحلية، مما أثبت أن الاتصال السحابي ليس ضروريًا تمامًا لتشغيل الجهاز بشكل سليم.
يشتري العديد من المستهلكين أجهزة ذكية من أجل الراحة، ولكن مثل هذه الحوادث تظهر مخاطر محتملة عندما يتمكن المستخدمون العاديون من الوصول عن طريق الخطأ إلى البيانات الخاصة.
قد يتم كشف الفيديو المباشر ومخططات الطوابق والمعلومات الأخرى إذا استغل المهاجمون نقاط ضعف مماثلة.
يمكن أن يؤدي استخدام برامج جدار الحماية والمراقبة الدقيقة وحماية نقطة النهاية لنشاط الشبكة إلى تقليل التعرض، كما يمكن أن يساعد الاستخدام الأوسع لأدوات الذكاء الاصطناعي أيضًا في تحديد الأنماط غير العادية، على الرغم من أن هذا لا يضمن اكتشافها.
يجب أن يدرك المستخدمون أنه حتى التكوينات الخاطئة البسيطة أو عيوب التصميم يمكن أن تؤدي إلى مخاطر كبيرة على الخصوصية.
تشير حالة المكانس الكهربائية DJI Romo إلى أن أجهزة إنترنت الأشياء قد تعطي الأولوية للراحة على الحماية القوية للبيانات – فبينما كان هذا الاكتشاف عرضيًا وتم الإبلاغ عنه بشكل مسؤول، فإن التصميم الأساسي يترك المعلومات الشخصية الحساسة عرضة للخطر.
وهذا يثير مخاوف مشروعة بشأن الوصول غير المقصود والهجمات المستهدفة المحتملة في المستقبل.
عبر أجهزة توم
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات