این محصول چینی در صدر لیست ناامن‌ ترین دستگاه‌های جهان

یک پژوهشگر به نام سمی آزدوغال می‌گوید قصد هک‌کردن جاروبرقی‌های رباتیک را نداشته؛ او فقط می‌خواسته جاروبرقی جدیدش به نام DJI Romo را با دسته‌ی بازی پلی‌استیشن کنترل کند؛ اما وقتی اپلیکیشن دست‌سازش به سرورهای شرکت DJI متصل شد، اتفاق عجیبی افتاد: به‌جای یک دستگاه، حدود ۷ هزار جاروبرقی از سراسر جهان به او پاسخ دادند.

به گفته‌ی او، این دستگاه‌ها هر سه ثانیه اطلاعاتی مثل شماره‌سریال، وضعیت نظافت، نقشه‌ی خانه، میزان باتری و حتی موقعیت تقریبی خود را به سرور ارسال می‌کردند.

در یک آزمایش زنده، ظرف ۹ دقیقه بیش از ۶۷۰۰ دستگاه در ۲۴ کشور شناسایی شدند و بیش از ۱۰۰ هزار پیام از آن‌ها دریافت شد. او حتی توانست فقط با داشتن شماره‌سریال یک دستگاه، وضعیت لحظه‌ای آن را ببیند؛ مثلاً این‌که در کدام اتاق در حال تمیزکاری است و چند درصد شارژ دارد. همچنین توانست نقشه‌ی کامل خانه را مشاهده کند.

آزدوغال می‌گوید برای این کار سرورها را «هک» نکرده، بلکه فقط توکن (کلید دسترسی) دستگاه خودش را استخراج کرده و به‌دلیل یک نقص امنیتی در بررسی سطح دسترسی، سرورها اطلاعات دستگاه‌های دیگر را هم در اختیارش گذاشته‌اند. او همچنین نشان داد که اطلاعات از طریق پروتکل MQTT و به‌صورت متن ساده منتقل می‌شدند، یعنی رمزگذاری مناسبی نداشتند.

پس از اطلاع‌رسانی او و رسانه‌ی ورج به DJI، شرکت ابتدا اعلام کرد مشکل برطرف شده؛ اما در عمل هنوز دسترسی گسترده وجود داشت. در نهایت، تا روز بعد دسترسی‌ها کاملاً قطع شد و ظاهراً حفره‌ی امنیتی بسته شد. دی‌جی‌آی بعدها وجود «اشکال در اعتبارسنجی سطح دسترسی در بک‌اند» را تأیید کرد.

ماجرا نگرانی‌های جدی درباره‌ی امنیت دستگاه‌های خانگی هوشمند ایجاد کرده؛ وقتی یک جاروبرقی رباتیک به دوربین و حتی میکروفون مجهز است و اطلاعات خانه را روی سرورهای ابری ذخیره می‌کند، کاربران انتظار دارند داده‌هایشان به‌خوبی محافظت شود.

منبع:زومیت

لینک کپی شد