يحصل المهندس على 30 ألف دولار لكشفه ثغرة أمنية تؤثر على 7000 مكنسة كهربائية روبوتية – أراد المصلح فقط تشغيل المكنسة الآلية الخاصة به باستخدام وحدة تحكم PS5
ستدفع شركة DJI مبلغ 30 ألف دولار لرجل اكتشف ثغرة أمنية خطيرة في الواجهة الخلفية السحابية للشركة، والتي منحته، من بين أمور أخرى، إمكانية الوصول إلى أسطول يضم حوالي 7000 مكنسة كهربائية روبوتية وأعطته لمحة عن منازل الآخرين، وفقًا لتقارير The Verge. وبحسب ما ورد أرسلت الشركة إلى Sammy Azdoufal، مهندس البرمجيات الذي أراد قيادة مكنسة الروبوت DJI Romo الخاصة به باستخدام وحدة تحكم PS5، بريدًا إلكترونيًا لإعلامه بالمكافأة، لكنها لم توضح الأسباب الكامنة وراء ذلك.
تصر شركة DJI على أنها بدأت بالفعل في إصلاح العديد من نقاط الضعف في أنظمتها الخلفية قبل أن يوضح Azdoufal حجم الوصول الذي كشف عنه، ومع ذلك لا تزال هناك أسئلة حول المكافأة والتصحيح. وفقًا لرسالة بريد إلكتروني شاركها معه الحافةوافقت شركة DJI على أن تدفع له 30 ألف دولار مقابل أحد اكتشافاته، على الرغم من أن الشركة لم توضح أي اكتشاف محدد مؤهل للحصول على المكافأة. وأكدت شركة DJI أنها قامت بتعويض باحث لم تذكر اسمه، بحسب ما ذكرته الحافة. ومع ذلك، فإن النزاع السابق للشركة مع الباحث Kevin Finisterre في عام 2017 يجعل من غير الواضح ما إذا كان سيتم مكافأة Azdofal على الإطلاق ومدى سرعة تصحيح ثغرات الواجهة الخلفية لـ DJI.
بدأ كل شيء في وقت سابق من هذا العام، عندما أراد سامي أزدوفال التحكم في جهازه الآلي باستخدام شيء أكثر ملاءمة من شاشة الهاتف الذكي. للتحكم في DJI Romo الخاص به باستخدام لوحة ألعاب PS5 الخاصة به، كان على Azdoufal تطوير تطبيق وحدة تحكم مخصص يستخدم رمز الأمان الخاص به للتحقق من مكنسته الكهربائية أنه مالك الجهاز. لاستخراج هذا الرمز المميز، كان بحاجة إلى العمل مع خوادم DJI السحابية لإجراء هندسة عكسية لعملية الترخيص، وهو ما فعله بنجاح بمساعدة أداة تشفير الذكاء الاصطناعي. كما اتضح، بدلاً من التحقق من روبوت واحد، منحت الواجهة الخلفية لشركة DJI حقوق وصول واسعة لحوالي 7000 مكنسة كهربائية روبوتية موجودة في 24 دولة، إلى جانب أجهزة الاستشعار والبيانات المخزنة في السحابة.
DJI Romo عبارة عن مكنسة كهربائية روبوتية متقدمة، وهي ليست مجهزة فقط بالمجموعة النموذجية من أجهزة الاستشعار الموجودة في أي هوفر أوتوماتيكي، ولكن أيضًا بكاميرا وميكروفون. ونتيجة لخلل الترخيص، تمكن Azdoufal من الوصول إلى 7000 بث مباشر للكاميرا مع الصوت، ويمكنه أيضًا تجميع مخططات أرضية ثنائية الأبعاد للمنازل التي تديرها شركة DJI Romos الأخرى. نظرًا لأن واجهة DJI الخلفية كانت أيضًا سخية بما فيه الكفاية، فقد زودت أيضًا خبير البرمجيات بعناوين IP الخاصة بهذه المنازل، مما مكنه من تخمين مواقعها الجغرافية.
يصر أزدوفال على أنه لم “يخترق” أي شيء لأنه واجه ببساطة خدمة خلفية معيبة فشلت في تقييد الوصول إلى الجهاز بشكل صحيح. ويُحسب لسامي أزدوفال أنه اختار الكشف عن المعلومات بدلاً من إساءة استخدامها. نبه أزدوفال الحافة، التي اتصلت بشركة DJI، التي قامت بإصلاح المشكلة بحلول منتصف فبراير.
ثم أخبرت شركة DJI مجلة Popular Science بذلك هو – هي تم اكتشاف الثغرة الأمنية خلال مراجعة داخلية (لذلك لم يتم منح الفضل لسامي أزدوفال) في أواخر شهر يناير وتم إصلاحها بسرعة. ومع ذلك، وفقًا لأحدث قصة كتبها الحافة، وتنسب الشركة الآن أيضًا الفضل إلى باحثين مستقلين في تحديد المشكلة نفسها، لكنها لا تقدم تفاصيل.
على أي حال، وفقًا لتقارير وسائل الإعلام، تم نشر التصحيح الأولي تلقائيًا في 8 فبراير، يليه تحديث ثانٍ في 10 فبراير، والذي يسبق قصة The Verge الأصلية في 14 فبراير ولكن من الواضح أنه يتبع اكتشاف Sammy Azdofal الذي يُزعم أنه تم إجراؤه قبل 8 فبراير. وقالت DJI أيضًا أنه لا يلزم اتخاذ أي إجراء من قبل المستخدم وأضافت أن هناك تحسينات أمنية إضافية جارية دون الكشف عن أي تفاصيل.
احصل على أفضل أخبار Tom's Hardware والمراجعات المتعمقة، مباشرة إلى صندوق الوارد الخاص بك.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات