كتب مايكل فارس

تمكن شخص يدّعي سامي أزدوفال من اختراق مجموعة كبيرة من المكانس الروبوتية في عدد من المناطق حول العالم، وذلك عندما أراد فقط التحكم عن بُعد بمكنسته الجديدة كليًا من طراز DJI Romo باستخدام وحدة تحكم ألعاب PS5، لأن الأمر بدا ممتعًا.

لكن عندما بدأ تطبيق التحكم عن بُعد الذي طوره بنفسه بالتواصل مع خوادم DJI، لم تكن مكنسة واحدة فقط هي التي استجابت، بل بدأ ما يقارب 7000 مكنسة، من جميع أنحاء العالم، بالتعامل مع أزدوفال وكأنه مديرها، إلى جانب أكثر من 10000 جهاز آخر بما في ذلك محطات طاقة محمولة.

ومن خلال هذا الوصول، استطاع أزدوفال التحكم عن بعد في الروبوتات، وعرض وسماع تغذيات الكاميرا الحية، ومراقبتها أثناء رسم خرائط الغرف لإنشاء مخططات أرضية ثنائية الأبعاد دقيقة، كما حدد موقع الجهاز التقريبي عبر عنوان IP.

تفاصيل الثغرة

وفقًا لتقرير تحقيقي نشر على موقع The Verge، عرض أزدوفال  خريطة عالمية تظهر مواقع آلاف أجهزة DJI عبر 24 دولة، حيث سجل في تسع دقائق 6700 جهاز وجمع أكثر من 100000 حزمة بيانات إم كيو تي تي، تحتوي على أرقام تسلسلية وتقدم التنظيف وملاحظات الغرفة ومسافة السفر وبطارية ومعوقات.

وباستخدام رقم تسلسلي لزميل، وصل إلى بيانات في الوقت الفعلي، بما في ذلك نشاط الروبوت في غرفة معينة وبطارية 80%، وأنشأ مخطط أرضية دقيق لمنزل في دولة أخرى.

وتجاوز أزدوفال رمز الأمان للوصول إلى تغذية فيديو ROMO الخاص به، وشارك نسخة قراءة فقط مع غونزاغ دامبريكورت، الذي أكد الوصول إلى تغذية كاميرا ROMO غير المقترن.

لم يخترق أزدوفال خادمات DJI، بل استخرج رمز الجهاز الخاص، الذي مصادق عليه خادمات في الولايات المتحدة والصين والاتحاد الأوروبي وبيئة ما قبل الإنتاج، كاشفًا بيانات مستخدمين آخرين، أداته تمسح البيانات عند الإغلاق، وفي البداية لم يتمكن من التحكم عن بعد أو الوصول إلى الفيديووالميكروفون، حيث قيدت DJI ذلك بعد الإبلاغ.

اعترفت DJI بمشكلة تحقق صلاحية خلفية في الاتصال إم كيو تي تي، قد تسمح بالوصول إلى فيديو حي غير مصرح، لكن الحوادث نادرة وغالبًا من باحثين، وقد نشرت تصحيحات في 8 و10 فبراير 2026 عبر تحديثات تلقائية، مع تشفير البيانات عبر تي إل إس وتخزينها على خادمات أمازون في الولايات المتحدة. يبرز الحادث مخاوف أمن البيانات لأجهزة ذات كاميرات وميكروفونات، مشابهًا لثغرات في أجهزة إيكوفاكس ودريم وإيكوفاكس وناروال.