ட்ரோன் மற்றும் ரோபாட்டிக்ஸ் துறையில் உலகளாவிய நிறுவனமான DJI இன் கிளவுட் உள்கட்டமைப்பில் அடையாளம் காணப்பட்ட கடுமையான பாதிப்பு, உலகெங்கிலும் உள்ள ஆயிரக்கணக்கான வீடுகளின் தனியுரிமையை ஆபத்தில் ஆழ்த்தியுள்ளது. பாதுகாப்பு மீறல், பிராண்டின் வீட்டு ரோபோக்கள், ரோபோமாஸ்டர் மாதிரி போன்றவற்றிலிருந்து வீடியோ ஊட்டங்கள், ஆடியோ மற்றும் வழிசெலுத்தல் தரவை தொலைவிலிருந்து அணுக அங்கீகரிக்கப்படாத மூன்றாம் தரப்பினரை அனுமதித்தது. இன்டர்நெட் ஆஃப் திங்ஸ் (IoT) சாதனங்களில் உள்ள அங்கீகார அமைப்புகளின் பலவீனத்தை அம்பலப்படுத்திய இந்த சம்பவம் பிப்ரவரி 2026 இல் நிறுவனத்தால் சரி செய்யப்பட்டது, ஆனால் ஸ்மார்ட் உபகரணங்களால் சேகரிக்கப்பட்ட பயோமெட்ரிக் மற்றும் இடஞ்சார்ந்த தரவுகளைப் பாதுகாப்பது குறித்து தீவிர விவாதங்களை எழுப்பியது.
Azdoufal என்ற புனைப்பெயரால் அறியப்பட்ட ஒரு பாதுகாப்பு ஆராய்ச்சியாளரால் தற்செயலாக பிரச்சனை கண்டுபிடிக்கப்பட்டது. வன்பொருள் ஒருங்கிணைப்பு சோதனைகளின் போது, ரோபோ மற்றும் உற்பத்தியாளரின் சேவையகங்களுக்கிடையில் தரவு போக்குவரத்தில் உள்ள முரண்பாடுகளை நிபுணர் கவனித்தார். அணுகல் டோக்கன் சரிபார்ப்பு அமைப்பு சாதனத்தின் உரிமையை சரியாகச் சரிபார்க்கவில்லை என்பது விசாரணையில் தெரியவந்துள்ளது, சரியான நற்சான்றிதழ்களைக் கொண்ட எந்தவொரு பயனரும் அதே உலகளாவிய நெட்வொர்க்குடன் இணைக்கப்பட்ட பிற சாதனங்களிலிருந்து தகவல்தொடர்புகளை இடைமறிக்க அனுமதிக்கிறது.
சைபர் செக்யூரிட்டி நிபுணர்கள் இந்த பிழையை முக்கியமான அணுகல் கட்டுப்பாட்டு குறைபாடு என வகைப்படுத்தியுள்ளனர். மீறல் பயனர்களிடையே டிஜிட்டல் தடைகளை நீக்கியது, பாதிப்பை எவ்வாறு பயன்படுத்துவது என்பதை அறிந்த எவருக்கும் நிறுவனத்தின் கிளவுட்டை ஒரு திறந்த களஞ்சியமாக மாற்றியது. சேவையகங்களுக்குப் பயன்படுத்தப்படும் திருத்தத்துடன், அங்கீகரிக்கப்படாத அணுகல் தடுக்கப்பட்டதை நிறுவனம் உறுதிசெய்தது, ஆனால் உள்நாட்டு தொழில்நுட்பத் துறையில் மிகவும் கடுமையான நெறிமுறைகளின் அவசியத்தைப் பற்றிய எச்சரிக்கையாக இந்த அத்தியாயம் செயல்படுகிறது.
அம்பலப்படுத்தப்பட்ட தகவல்களின் உணர்திறன் காரணமாக இந்த வழக்கு சர்வதேச கவனத்தைப் பெற்றது. பதிவு தரவு கசிவுகள் போலல்லாமல், இந்த சம்பவம் வீடுகளின் உட்புறத்தை நிகழ்நேர கண்காணிப்பு, தனிப்பட்ட உரையாடல்கள் மற்றும் அறைகளின் விரிவான மேப்பிங் உட்பட, பாதிக்கப்பட்ட சாதனங்களின் உரிமையாளர்களுக்கு எதிராக உடல் அல்லது டிஜிட்டல் குற்றவியல் நடவடிக்கைகளை எளிதாக்கும்.
தற்செயலான கண்டுபிடிப்பு முறையான குறைபாட்டை வெளிப்படுத்துகிறது
ஆய்வாளரான அஸ்டோஃபல் தனது DJI ரோபோவுடன் பிளேஸ்டேஷன் 5 கட்டுப்படுத்தியை இணைக்க முயன்றபோது குறைபாட்டை அடையாளம் காண வழிவகுத்தது. சாதனம் கட்டளைகளுக்கு எவ்வாறு பதிலளித்தது என்பதைப் புரிந்துகொள்ள தகவல்தொடர்பு பதிவுகளை பகுப்பாய்வு செய்யும் போது, மேகக்கணிக்கான இணைப்பை அங்கீகரிப்பதற்காக கணினி ஒரு அமர்வு டோக்கனை உருவாக்குவதை அவர் கவனித்தார். தொழில்நுட்ப ஆர்வம் அவரை இந்த டோக்கனின் வரம்புகளை சோதிக்க வழிவகுத்தது, தகவல் பாதுகாப்பிற்கான ஒரு ஆபத்தான காட்சியை வெளிப்படுத்தியது.
சேவையகத்திற்கு அனுப்பப்பட்ட கோரிக்கைகளை கையாளுவதன் மூலம், DJI இன் உள்கட்டமைப்பு அணுகல் டோக்கனை பயனரின் சாதனத்தின் வரிசை எண்ணுடன் பிரத்தியேகமாக இணைக்கவில்லை என்பதை ஆராய்ச்சியாளர் கண்டறிந்தார். நடைமுறையில், இதன் பொருள், கணினியில் ஒருமுறை, நெட்வொர்க்குடன் இணைக்கப்பட்ட வேறு எந்த ரோபோவிலிருந்தும் தரவைக் கோர முடியும், அனுமதி இல்லாததால் செயலை சேவையகம் தடுக்காமல். இந்த குறுக்கு சரிபார்ப்பு குறைபாடு பிணைய பாதுகாப்பு கட்டமைப்பில் ஒரு அடிப்படை பிழையாக கருதப்படுகிறது.
பாதிப்பைப் பயன்படுத்தி, பல நாடுகளில் பரவியுள்ள ஆயிரக்கணக்கான அலகுகளில் இருந்து தரவு ஸ்ட்ரீம்களை இடைமறிக்க ஆராய்ச்சியாளர் அனுமதித்தார். கைப்பற்றப்பட்ட போக்குவரத்தில் தொழில்நுட்ப டெலிமெட்ரி மட்டுமல்ல, கிளவுட்டில் அனுப்பப்படும் அல்லது சேமிக்கப்படும் மல்டிமீடியா கோப்புகளும் அடங்கும். கணினி சமரசம் செய்யப்பட்ட எளிமை, உற்பத்தியாளரால் செயல்படுத்தப்பட்ட பாதுகாப்பு அடுக்குகள் இலக்கு தாக்குதல் அல்லது ஆர்வமுள்ள சுரண்டலைக் கட்டுப்படுத்த போதுமானதாக இல்லை என்பதை நிரூபித்தது.
இலகுரக மற்றும் வேகமான தகவல்தொடர்புக்கு IoT சாதனங்களில் பரவலாகப் பயன்படுத்தப்படும் MQTT நெறிமுறை, ஆய்வில் பயன்படுத்தப்படும் திசையன் ஆகும். நன்கு கட்டமைக்கப்படும்போது நெறிமுறையே பாதுகாப்பானது என்றாலும், நிறுவனத்தின் சேவையகங்களில் செயல்படுத்தப்பட்ட செயலாக்கமானது ஒவ்வொரு பயனரின் செய்தித் தொடரையும் பிரிக்கத் தவறிவிட்டது. இது ஒரு சாதனத்திலிருந்து வரும் தனிப்பட்ட செய்திகளை மற்றவர்கள் படிக்கக்கூடிய சூழலை உருவாக்கியது, இது கிளவுட் சேவைகளை நிர்வகிக்கும் ரகசியத்தன்மையின் கொள்கையை மீறுகிறது.
தனியுரிமை மற்றும் முக்கியமான தரவு மீதான தாக்கம்
சம்பவத்தின் தீவிரம் DJI ரோபோக்கள் சேகரிக்கும் மற்றும் செயலாக்கும் தரவு வகைகளில் உள்ளது. உயர் தெளிவுத்திறன் கொண்ட கேமராக்கள், மைக்ரோஃபோன்கள் மற்றும் LiDAR (ஒளி கண்டறிதல் மற்றும் ரேங்கிங்) சென்சார்கள் பொருத்தப்பட்ட இந்த சாதனங்கள் பயனர்களின் வீட்டிற்குள் கண்கள் மற்றும் காதுகளாக செயல்படுகின்றன. இந்த சென்சார்களுக்கான அங்கீகரிக்கப்படாத அணுகல் வீட்டு நடைமுறைகளைப் பார்க்கவும், ரகசிய உரையாடல்களைக் கேட்கவும், வீடுகளின் துல்லியமான தரைத் திட்டங்களைப் பெறவும் அனுமதித்தது.
LiDAR சென்சார்களால் உருவாக்கப்பட்ட வரைபடங்கள் தவறான கைகளில் குறிப்பாக மதிப்புமிக்கவை மற்றும் ஆபத்தானவை. அவை சுற்றுச்சூழலின் முப்பரிமாண பிரதிநிதித்துவத்தை உருவாக்குகின்றன, தளபாடங்கள் ஏற்பாடு, கதவுகள் மற்றும் ஜன்னல்களின் இடம் மற்றும் மதிப்புமிக்க பொருட்களின் இருப்பு ஆகியவற்றை விவரிக்கின்றன. குற்றவாளிகளுக்கு, இந்தத் தகவல் முன்னோடியில்லாத அளவிலான விவரங்களுடன் உடல் படையெடுப்புகளைத் திட்டமிடுவதற்குப் பயன்படுத்தப்படலாம், சொத்தின் தளவமைப்பு மற்றும் பாதுகாப்புக் குருட்டுப் புள்ளிகளை முன்கூட்டியே அறிந்து கொள்ளலாம்.
உடல் ஆபத்துக்கு கூடுதலாக, படங்கள் மற்றும் ஆடியோவின் வெளிப்பாடு தனியுரிமையின் நேரடி மீறலைக் குறிக்கிறது. தொலைதூர வேலை மற்றும் டிஜிட்டல் வாழ்க்கை ஆகியவை வீட்டுச் சூழலில் ஒருங்கிணைக்கப்பட்ட ஒரு சூழ்நிலையில், வேலை சந்திப்புகள், குடும்ப தருணங்கள் அல்லது நெருக்கமான சூழ்நிலைகள் மூன்றாம் தரப்பினருக்கு அனுப்பப்படுவது நுகர்வோர் நம்பிக்கைக்கு ஈடுசெய்ய முடியாத சேதத்தை உருவாக்குகிறது. ஸ்மார்ட் சாதனங்களின் விற்பனையுடன் வரும் தனியுரிமை வாக்குறுதியின் பலவீனத்தை தோல்வி அம்பலப்படுத்தியது.
பிரச்சினையின் புவியியல் நோக்கமும் கவலையளிக்கும் காரணியாக இருந்தது. இடைமறித்த போக்குவரத்தின் பகுப்பாய்வு வட அமெரிக்கா, ஐரோப்பா மற்றும் ஆசியாவில் உள்ள சாதனங்கள் பாதிக்கப்படக்கூடியவை என்பதைக் காட்டுகிறது. இந்த குறைபாடு ஒரு குறிப்பிட்ட பிராந்திய சேவையகத்துடன் கட்டுப்படுத்தப்படவில்லை என்பதை இது குறிக்கிறது, ஆனால் DJI இன் உலகளாவிய இயங்குதளத்தின் முக்கிய கட்டமைப்பில் உள்ளது, இது பயனர்களின் இருப்பிடம் அல்லது அவர்களின் நாடுகளில் நடைமுறையில் உள்ள தரவு பாதுகாப்பு சட்டங்களைப் பொருட்படுத்தாமல் பாதிக்கிறது.
நிறுவனத்தின் பதில் மற்றும் பாதுகாப்பு மேம்படுத்தல்
ஆய்வாளரின் பொறுப்பான அறிவிப்பைத் தொடர்ந்து, பாதிப்பின் அளவைச் சரிபார்க்க DJI உள் தணிக்கையைத் தொடங்கியது. நிறுவனம் MQTT தரகர் கட்டமைப்பில் குறைபாடு இருப்பதை உறுதிசெய்தது மற்றும் அவசர தீர்வை உருவாக்க அதன் பொறியியல் குழுக்களைத் திரட்டியது. இறுதிப் பயனர்களால் ஃபார்ம்வேர் புதுப்பிப்புகளின் தேவையை நீக்கி, சேவையகங்களில் நேரடியாகத் தணிப்பு செயல்முறை மேற்கொள்ளப்பட்டது.
பிப்ரவரி 2026 இன் தொடக்கத்தில் இரண்டு முக்கிய கட்டங்களில் திருத்தம் செயல்படுத்தப்பட்டது. முதல் படி அணுகல் கட்டுப்பாட்டு விதிகளை மாற்றுவதை உள்ளடக்கியது, ஒவ்வொரு அமர்வு டோக்கனும் கண்டிப்பாக சாதன ஐடி மற்றும் உரிமையாளர் பயனர் கணக்குடன் இணைக்கப்பட்டிருப்பதை உறுதிசெய்தது. இரண்டாவது கட்டமானது, புதிய உள்ளமைவு இதேபோன்ற சுரண்டல் முயற்சிகளை எதிர்க்கும், கணக்குகளுக்கு இடையே பக்கவாட்டு அணுகலுக்கான கதவை மூடுவதை உறுதி செய்வதற்கான ஊடுருவல் சோதனையை உள்ளடக்கியது.
DJI ஒரு அறிக்கையை வெளியிட்டது, இந்த சிக்கலை ஒப்புக் கொண்டது மற்றும் அதிக தாக்கத்தை ஏற்படுத்தும் ஆபத்து என வகைப்படுத்தியது. ஆராய்ச்சியாளர் அதைக் கண்டுபிடிப்பதற்கு முன்பு தீங்கிழைக்கும் நடிகர்களால் குறைபாடு பயன்படுத்தப்பட்டது என்பதற்கு எந்த ஆதாரமும் இல்லை என்று நிறுவனம் கூறியது, ஆனால் இந்த வகையான பாதிப்பின் அமைதியான தன்மை கடந்த அங்கீகரிக்கப்படாத அணுகல் இல்லாததற்கு உத்தரவாதம் அளிப்பதை கடினமாக்குகிறது. வாடிக்கையாளர் தளத்துடன் நம்பகத்தன்மையை மீட்டெடுக்கும் முயற்சியில் தகவல்தொடர்பு வெளிப்படைத்தன்மை அவசியமான படியாகக் காணப்பட்டது.
கூடுதல் தடுப்பு நடவடிக்கையாக, உற்பத்தியாளர் அதன் பாதுகாப்பான மேம்பாட்டு நெறிமுறைகளை (SDLC) மதிப்பாய்வு செய்வதாக அறிவித்தார். மென்பொருள் மற்றும் கிளவுட் சேவைகளை உருவாக்கும் அனைத்து நிலைகளிலும் மிகவும் கடுமையான பாதுகாப்பு சோதனைகளை ஒருங்கிணைத்து, அங்கீகார தர்க்கத்தில் பிழைகள் உற்பத்திச் சூழல்களை அடைவதைத் தடுக்கிறது. நிறுவனம் தனது பிழை பவுண்டி திட்டத்தை வலுப்படுத்தியது, பிழைகளை நெறிமுறையாகப் புகாரளிக்க பாதுகாப்பு சமூகத்தை ஊக்குவிக்கிறது.
IoT சாதனங்களில் பாதுகாப்பு சவால்கள்
இன்டர்நெட் ஆஃப் திங்ஸ் துறையில் ஒரு முறையான சவாலை DJI ரோபோ சம்பவம் விளக்குகிறது. வரவிருக்கும் ஆண்டுகளில் மில்லியன் கணக்கான புதிய ஸ்மார்ட் சாதனங்கள் வீடுகளுக்குள் நுழையும் என்று எதிர்பார்க்கப்படுவதால், சைபர் கிரைமினல்களுக்கான தாக்குதல் மேற்பரப்பு தொடர்ந்து விரிவடைகிறது. விரைவான வெளியீடுகள் மற்றும் புதுமையான அம்சங்களுக்கான அழுத்தம் பெரும்பாலும் உற்பத்தியாளர்களை தரவுப் பிரித்தல் மற்றும் வலுவான அங்கீகாரம் போன்ற அடிப்படை பாதுகாப்பு அம்சங்களை புறக்கணிக்க வழிவகுக்கிறது.
இந்தச் சாதனங்களை இயக்குவதற்கு மேகக்கணியைச் சார்ந்திருப்பது தோல்வியின் ஒற்றைப் புள்ளியை உருவாக்குகிறது. உபகரண நுண்ணறிவு வன்பொருளை விட ரிமோட் சர்வர்களில் இருக்கும் போது, உற்பத்தியாளரின் உள்கட்டமைப்பில் உள்ள பாதிப்பு உடனடியாக முழு பயனர் தளத்தையும் சமரசம் செய்கிறது. இந்த மையப்படுத்தப்பட்ட மாதிரியானது, மேம்படுத்தல்கள் மற்றும் கனரக தரவு செயலாக்கத்திற்கு திறமையானதாக இருந்தாலும், பல நிறுவனங்கள் இன்னும் சாதிக்க போராடும் இணையப் பாதுகாப்பு சிறப்பான நிலை தேவைப்படுகிறது.
நுகர்வோருக்கு, எபிசோட் ஆழமான நடைமுறைகளில் பாதுகாப்பைக் கடைப்பிடிப்பதன் முக்கியத்துவத்தை நினைவூட்டுகிறது. ஹோம் நெட்வொர்க்கைப் பிரிப்பது, வங்கி விவரங்களுடன் கணினிகள் மற்றும் செல்போன்கள் பயணிக்கும் நெட்வொர்க்கிலிருந்து தனித்தனியாக ஸ்மார்ட் சாதனங்களுக்கான பிரத்யேக வைஃபையை உருவாக்குவது பரிந்துரைக்கப்பட்ட நடவடிக்கையாகும். மேலும், சாதன ஃபார்ம்வேரை புதுப்பித்த நிலையில் வைத்திருப்பது மற்றும் தனியுரிமை அனுமதிகளை அவ்வப்போது மதிப்பாய்வு செய்வது டிஜிட்டல் யுகத்தில் இன்றியமையாத பழக்கமாகும்.
பிரேசிலில் உள்ள LGPD மற்றும் ஐரோப்பாவில் GDPR போன்ற விதிமுறைகள் தரவுச் செயலாக்கத்தில் அதிக பொறுப்புக்காக நிறுவனங்களுக்கு அழுத்தம் கொடுக்கின்றன. இது போன்ற சம்பவங்கள் கடுமையான தடைகள் மற்றும் கார்ப்பரேட் நற்பெயருக்கு சேதம் விளைவிக்கும், சந்தையானது “வடிவமைப்பினால் பாதுகாப்பு” என்ற கருத்தை கடைப்பிடிக்க கட்டாயப்படுத்துகிறது, அங்கு பாதுகாப்பு என்பது தயாரிப்பின் கருத்தாக்கத்தில் இருந்து கருதப்படுகிறது, மேலும் இது பிற்காலத் திருத்தமாக அல்ல. இணைக்கப்பட்ட வீட்டுப் பாதுகாப்பு என்பது வேறுபாடில்லை, ஆனால் தொழில்நுட்ப சந்தையில் உயிர்வாழ்வதற்கான கட்டாயத் தேவையாகிவிட்டது.