DJI இன் கிளவுட்டில் உள்ள பாதிப்பு பிராண்டின் ரோபோக்களால் கைப்பற்றப்பட்ட வீடுகளின் வீடியோக்கள் மற்றும் வரைபடங்களை அம்பலப்படுத்துகிறது

DJI இன் கிளவுட் உள்கட்டமைப்பில் கடுமையான குறைபாடு ஆயிரக்கணக்கான வீட்டு ரோபோ பயனர்களின் பாதுகாப்பை சமரசம் செய்துள்ளது, இது மூன்றாம் தரப்பினரை தொலைவிலிருந்து வீடியோ ஊட்டங்கள் மற்றும் வழிசெலுத்தல் தரவை அணுக அனுமதிக்கிறது. உற்பத்தியாளரிடமிருந்து RoboMaster வரி மற்றும் பிற நிலப்பரப்பு சாதனங்களை மையமாகக் கொண்ட சிக்கல், இணைக்கப்பட்ட சாதனங்களில் அங்கீகார வழிமுறைகளின் பலவீனத்தை வெளிப்படுத்தியது. சாதனங்கள் மூலம் அனுப்பப்படும் தரவுகளுக்கான அணுகல் அனுமதிகளை கணினி போதுமான அளவு சரிபார்க்கவில்லை என்பதைக் கண்டறிந்த பிறகு, இந்த ஆண்டு பிப்ரவரியில் நிறுவனத்தால் மீறல் சரி செய்யப்பட்டது.

Azdoufal எனப்படும் பாதுகாப்பு ஆய்வாளர் மேற்கொண்ட சோதனைகளின் போது எதிர்பாராத விதமாக பிழையின் அடையாளம் ஏற்பட்டது. பொழுதுபோக்கு நோக்கங்களுக்காக வீடியோ கேம் கன்சோல் கன்ட்ரோலரை ரோபோவில் ஒருங்கிணைக்க முயற்சிக்கும் போது, ​​நெட்வொர்க் டிராஃபிக்கில் உள்ள முரண்பாடுகளை நிபுணர் கவனித்தார். தொழில்நுட்ப பகுப்பாய்வு, உற்பத்தியாளரின் நெட்வொர்க்கில் அங்கீகரிக்கப்பட்டவுடன், உரிமை இல்லாததால் கோரிக்கையை சேவையகம் தடுக்காமல் பிற சாதனங்களிலிருந்து தகவல்தொடர்புகளை பயனர் இடைமறிக்க முடியும் என்பதை வெளிப்படுத்தியது.

ரோபோக்களால் சேகரிக்கப்பட்ட தகவலின் தன்மையைக் கருத்தில் கொண்டு, தரவு பாதுகாப்பு நிபுணர்கள் இந்த சம்பவத்தை முக்கியமான தனியுரிமை மீறல் என வகைப்படுத்தியுள்ளனர். மின்னஞ்சல்கள் அல்லது கடவுச்சொற்களை மட்டுமே உள்ளடக்கிய கசிவுகளைப் போலன்றி, இந்த பாதிப்பு வீடுகளின் உட்புறத்தில் டிஜிட்டல் சாளரத்தைத் திறந்தது. முறையற்ற அணுகல், நிகழ்நேரத்தில் சுற்றுச்சூழலைப் பார்ப்பது மட்டுமல்லாமல், உரையாடல்களைக் கேட்பது மற்றும் அறைகளின் இடஞ்சார்ந்த மேப்பிங்கைப் பெறுவது, சாதனத்தை அங்கீகரிக்கப்படாத கண்காணிப்பு கருவியாக மாற்றுகிறது.

உலகளாவிய சேவையகங்களில் டோக்கன் சரிபார்ப்பு விதிகளை மறுகட்டமைப்பதில் DJI பயன்படுத்திய பிழைத்திருத்தம் அடங்கும். ஒரு பயனர் மற்றொருவரின் தரவைப் பார்க்கக்கூடிய பக்க அணுகல் முற்றிலும் அகற்றப்படுவதை நிறுவனம் உறுதி செய்தது. எவ்வாறாயினும், இந்த வழக்கு, இன்டர்நெட் ஆஃப் திங்ஸ் (IoT) சாதனங்களில் பாதுகாப்பு குறித்த விவாதத்தை மீண்டும் தூண்டியுள்ளது, கிளவுட் இணைப்பின் வசதியானது பயோமெட்ரிக் மற்றும் இடஞ்சார்ந்த தரவுகளின் மையப்படுத்தப்பட்ட சேமிப்பகத்துடன் தொடர்புடைய அபாயங்களை நியாயப்படுத்துகிறதா என்று கேள்வி எழுப்பியது.

அங்கீகார தோல்வியின் தொழில்நுட்ப விவரங்கள்

ஸ்மார்ட் சாதனங்களில் பரவலாகப் பயன்படுத்தப்படும் இலகுரக தகவல்தொடர்பு தரமான MQTT நெறிமுறையை செயல்படுத்துவதில் சிக்கலின் முக்கிய அம்சம் உள்ளது. சரியாக உள்ளமைக்கப்படும் போது நெறிமுறை பாதுகாப்பானது என்றாலும், DJI இன் உள்கட்டமைப்பு தனிப்பட்ட செய்தித் தொடரைப் பிரிக்கத் தவறிவிட்டது. இதன் பொருள், அனைத்து அங்கீகரிக்கப்பட்ட பயனர்களையும் கணினி அதிக நம்பிக்கையுடன் நடத்தியது, கோரிக்கையில் அடையாளங்காட்டிகளை மாற்றுவதன் மூலம் மற்றவர்களின் சாதனங்களில் வாசிப்பு கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது.

விசாரணையில், உரிமையாளரின் வன்பொருள் வரிசை எண்ணுடன் கண்டிப்பாக இணைக்கப்படாத அமர்வு டோக்கன்களை சர்வர் உருவாக்கியது கண்டறியப்பட்டது. இந்த குறுக்கு சரிபார்ப்பு இல்லாததால், ஆராய்ச்சியாளருக்கு, தனது சொந்த முறையான நற்சான்றிதழ்களைப் பயன்படுத்தி, அதே நெட்வொர்க்குடன் இணைக்கப்பட்ட பிற ரோபோக்களிடமிருந்து தரவு போக்குவரத்தை உலாவ அனுமதித்தது. பாதுகாப்பு கட்டமைப்பில் உள்ள தர்க்கக் குறைபாடு மேகக்கணியை அணுகக்கூடிய களஞ்சியமாக மாற்றியது, அங்கு வெவ்வேறு பயனர் கணக்குகளுக்கு இடையிலான தடை நடைமுறையில் இல்லை.

சரியான அணுகல் பாதுகாப்பு இல்லாமல் பயணிக்கும் முக்கியமான தகவல்களின் நிலையான ஓட்டம் பாதிப்பை சுரண்டியது. இதேபோன்ற தொழில்நுட்ப அறிவைக் கொண்ட தாக்குபவர் இடைமறிக்கக்கூடிய தரவுகளில், பின்வருபவை தனித்து நிற்கின்றன:
– நிகழ்நேரத்தில் உயர் வரையறை வீடியோ பரிமாற்றங்கள்;
– சுற்றுச்சூழல் மைக்ரோஃபோன்களால் கைப்பற்றப்பட்ட ஆடியோ கோப்புகள்;
– டெலிமெட்ரி மற்றும் ரோபோ பொருத்துதல் பதிவுகள்;
– ஸ்டில் படங்கள் கிளவுட் நினைவகத்தில் சேமிக்கப்பட்டுள்ளன.

கணினி சமரசம் செய்யப்பட்ட எளிமை, நிறுவனத்தின் பாதுகாப்பான வளர்ச்சி செயல்முறைகளில் குறிப்பிடத்தக்க இடைவெளியை நிரூபித்தது. பிழைத்திருத்தத்திற்கு ஒரு எளிய “பேட்ச்” தேவைப்பட்டது, ஆனால் MQTT “தரகர்” படிக்க மற்றும் எழுத அனுமதிகளை நிர்வகிக்கும் விதத்தை மாற்றியமைக்க வேண்டும். ஒவ்வொரு தரவுக் கோரிக்கையும் சாதனத்தின் உரிமைப் பதிவுக்கு எதிராக அங்கீகரிக்கப்படுவதை உறுதிசெய்ய, கூடுதல் அணுகல் முயற்சிகளைத் தடுக்கும் வகையில், DJI க்கு கூடுதல் சரிபார்ப்பு அடுக்குகளைச் செயல்படுத்த வேண்டியிருந்தது.

LiDAR மேப்பிங்கால் பெரிதாக்கப்படும் அபாயங்கள்

இந்த பாதுகாப்பு மீறலின் மிகவும் ஆபத்தான அம்சம் பிராண்டின் மேம்பட்ட ரோபோக்களில் இருக்கும் LiDAR (ஒளி கண்டறிதல் மற்றும் ரேங்கிங்) தொழில்நுட்பத்தைப் பயன்படுத்துவதாகும். தன்னாட்சி வழிசெலுத்தல் மற்றும் தடைகளை கண்டறிவதற்காக வடிவமைக்கப்பட்ட இந்த சென்சார்கள், சுற்றுச்சூழலின் மிகவும் துல்லியமான முப்பரிமாண வரைபடங்களை உருவாக்குகின்றன. குற்றவாளிகளின் கைகளில், இந்தத் தரவு டிஜிட்டல் தனியுரிமையின் மீறலை மீறுகிறது மற்றும் வீடுகள் மற்றும் அதில் வசிப்பவர்களின் உடல் பாதுகாப்புக்கு நேரடியான ஆபத்தை பிரதிநிதித்துவப்படுத்துகிறது.

மேப்பிங் தரவை அணுகுவதன் மூலம், தாக்குபவர் ஒரு வீட்டின் முழுமையான தரைத் திட்டத்தை மறுகட்டமைக்க முடியும், நுழைவுப் புள்ளிகள், தளபாடங்கள் இருப்பிடங்கள் மற்றும் குடியிருப்பாளர்களின் வழக்கத்தை அடையாளம் காணலாம். இந்த முந்தைய நுண்ணறிவு படையெடுப்புகள் அல்லது திருட்டுகளைத் திட்டமிடுவதை எளிதாக்கும், குற்றவாளிகள் சொத்தின் தளவமைப்பை உடல் ரீதியாக எப்போதும் அறியாமல் அனுமதிக்கும். DJI இன் சென்சார்களின் துல்லியம் இந்த வரைபடங்களை சக்திவாய்ந்த கருவிகளாக மாற்றுகிறது, சாதாரண கட்டிடக்கலைத் திட்டங்களுடன் பொருந்தாத ஒரு நம்பகத்தன்மையுடன் சுற்றுச்சூழலை விவரிக்கிறது.

சொத்துக்கான ஆபத்துக்கு கூடுதலாக, வீட்டிற்குள் கேமராக்கள் மற்றும் மைக்ரோஃபோன்களை வெளிப்படுத்துவது வீட்டின் மீற முடியாத அடிப்படைக் கொள்கையை மீறுகிறது. தொலைதூர வேலையும் தனிப்பட்ட வாழ்க்கையும் கலந்த ஒரு சூழ்நிலையில், ரகசிய சந்திப்புகள் அல்லது நெருக்கமான தருணங்களை மூன்றாம் தரப்பினருக்கு அனுப்புவது ஈடுசெய்ய முடியாத சேதத்தை ஏற்படுத்துகிறது. மேகக்கணியில் உள்ள தவறான உள்ளமைவுகளால் ஸ்மார்ட் அசிஸ்டென்ட்களாக விற்கப்படும் சாதனங்கள் சாத்தியமான உளவாளிகளாக மாறும்போது பிராண்டின் மீதான நுகர்வோர் நம்பிக்கை நேரடியாகப் பாதிக்கப்படுகிறது.

உற்பத்தியாளரின் பதில் மற்றும் தணிப்பு நடவடிக்கைகள்

ஆராய்ச்சியாளர் Azdoufal மூலம் அறிவிக்கப்பட்ட பிறகு, DJI பாதிப்பின் தாக்கத்தை மதிப்பிடுவதற்கு அவசர உள் தணிக்கையைத் தொடங்கியது. நிறுவனம் சர்வர் உள்ளமைவில் உள்ள குறைபாட்டை உறுதிப்படுத்தியது மற்றும் ஒரு உறுதியான தீர்வை உருவாக்க அதன் பொறியியல் குழுக்களை அணிதிரட்டியது. சரிசெய்தல் செயல்முறை முழுவதுமாக சர்வர் பக்கத்திலேயே மேற்கொள்ளப்பட்டது, இது பயனர்கள் தங்கள் ரோபோக்களின் ஃபார்ம்வேரை கைமுறையாக புதுப்பிக்க வேண்டிய அவசியமின்றி இடர் குறைப்பை அனுமதித்தது.

பாதுகாப்பு மேம்படுத்தல் பிப்ரவரி தொடக்கத்தில் இரண்டு முக்கிய கட்டங்களில் வெளியிடப்பட்டது. கடுமையான உரிமைச் சரிபார்ப்பு தேவைப்படும் MQTT நெறிமுறை அனுமதிகளை மறுகட்டமைப்பதன் மூலம் அணுகல் இடைவெளியை உடனடியாக மூடுவதில் முதல் கட்டம் கவனம் செலுத்தியது. இரண்டாவது கட்டம் தீவிர ஊடுருவல் சோதனையை உள்ளடக்கியது, புதிய கட்டிடக்கலை இதேபோன்ற சுரண்டல் முயற்சிகளைத் தாங்கும் மற்றும் கணினியில் வேறு பக்க கதவுகள் திறக்கப்படவில்லை என்பதை உறுதிப்படுத்த தாக்குதல்களை உருவகப்படுத்தியது.

ஒரு அதிகாரப்பூர்வ அறிக்கையில், DJI பிழையின் தீவிரத்தை ஒப்புக் கொண்டது மற்றும் அதன் மென்பொருள் மேம்பாட்டு நெறிமுறைகளை (SDLC) மதிப்பாய்வு செய்வதாகக் கூறியது. ஆராய்ச்சியாளரின் கண்டுபிடிப்புக்கு முன்னர் குறைபாடு தீங்கிழைக்கும் வகையில் பயன்படுத்தப்பட்டது என்பதற்கு எந்த ஆதாரமும் கிடைக்கவில்லை என்று நிறுவனம் கூறியது, இருப்பினும் இந்த வகையான அணுகலின் அமைதியான தன்மை முழுமையான உறுதிப்படுத்தலை கடினமாக்குகிறது. எதிர்காலத் தடுப்பு நடவடிக்கையாக, உற்பத்தியாளர் அதன் பிழை பவுண்டி திட்டத்தை வலுப்படுத்தினார், பாதுகாப்பு சமூகத்தை நெறிமுறை மற்றும் ஒருங்கிணைந்த முறையில் பாதிப்புகளைப் புகாரளிக்க ஊக்குவித்தார்.

IoT பாதுகாப்பில் முறையான சவால்கள்

DJI சம்பந்தப்பட்ட அத்தியாயம் நுகர்வோர் தொழில்நுட்பத் துறையில் தொடர்ச்சியான சவாலை விளக்குகிறது: விரைவான கண்டுபிடிப்பு மற்றும் வலுவான பாதுகாப்பை சமநிலைப்படுத்துதல். வெற்றிட கிளீனர்கள் முதல் குளிர்சாதனப்பெட்டிகள் வரையிலான வீட்டுச் சாதனங்கள், இணைப்பு மற்றும் மேம்பட்ட சென்சார்களைப் பெறுவதால், சைபர் குற்றவாளிகளுக்குக் கிடைக்கும் தாக்குதல் மேற்பரப்பு அதிவேகமாக விரிவடைகிறது. மையப்படுத்தப்பட்ட கிளவுட் உள்கட்டமைப்புகளை நம்புவது தோல்வியின் ஒற்றை புள்ளிகளை உருவாக்குகிறது, அங்கு தவறான உள்ளமைவு மில்லியன் கணக்கான பயனர்களை ஒரே நேரத்தில் சமரசம் செய்யலாம்.

நுகர்வோருக்கு, இந்த சம்பவம் அவர்களின் வீட்டு நெட்வொர்க்குகளில் பாதுகாப்பு-ஆழமான நடைமுறைகளை கடைப்பிடிக்க வேண்டியதன் அவசியத்திற்கு ஒரு எச்சரிக்கை அழைப்பாக செயல்படுகிறது. வைஃபை நெட்வொர்க்கைப் பிரிக்கவும், ஐஓடி சாதனங்களுக்கான பிரத்யேக சேனலை உருவாக்கவும், வங்கி விவரங்களுடன் கணினிகள் மற்றும் ஸ்மார்ட்போன்கள் இணைக்கப்பட்டுள்ள நெட்வொர்க்கிலிருந்து பிரிக்கவும் நிபுணர்கள் பரிந்துரைக்கின்றனர். ஸ்மார்ட் சாதனம் சமரசம் செய்யப்பட்டால், தாக்குபவர்களின் பக்கவாட்டு இயக்கத்தை இந்த நடவடிக்கை கட்டுப்படுத்துகிறது, இது வீட்டின் மற்ற டிஜிட்டல் சுற்றுச்சூழல் அமைப்பைப் பாதுகாக்கிறது.

பிரேசிலில் LGPD மற்றும் ஐரோப்பாவில் GDPR போன்ற சட்டங்களால் இயக்கப்படும் ஒழுங்குமுறை அழுத்தம், “வடிவமைப்பினால் பாதுகாப்பு” என்ற கருத்தை நிறுவனங்களைத் தொடர்ந்து ஏற்கும்படி கட்டாயப்படுத்துகிறது. இது போன்ற சம்பவங்கள் பாதுகாப்பு என்பது ஒரு பின் சிந்தனையாக இருக்க முடியாது, ஆனால் தயாரிப்பு வடிவமைப்பில் இருந்து ஒருங்கிணைக்கப்பட வேண்டும் என்பதை நிரூபிக்கிறது. பயனர் தரவைப் பாதுகாப்பது ஒரு கட்டாய சந்தைத் தேவையாகிவிட்டது, மேலும் இந்த பகுதியில் தோல்விகள் தொழில்நுட்ப உற்பத்தியாளர்களுக்கு குறிப்பிடத்தக்க நற்பெயர் மற்றும் நிதி சேதத்தை விளைவிக்கும்.