ثغرة أمنية تكشف الكاميرات والخرائط الخاصة بـ 7000 مكنسة كهربائية روبوتية من طراز DJI Romo في 24 دولة

اكتشف مهندس برمجيات إسباني ثغرة أمنية خطيرة في المكنسة الكهربائية الروبوتية DJI Romo، التي أطلقتها الشركة الصينية في فبراير 2026. كان سامي أزدوفال ينوي ببساطة إنشاء تطبيق مخصص للتحكم في جهازه الخاص باستخدام وحدة تحكم PlayStation 5. خلال التجربة، تمكن من الوصول إلى بيانات من حوالي 7000 وحدة في 24 دولة على الأقل. سمح الخلل بمشاهدة موجزات الكاميرا المباشرة وصوت الميكروفون ومخططات أرضية المنزل والمواقع التقريبية بناءً على عناوين IP.

وقع الحادث لأن رمز المصادقة المستخرج من جهاز أزدوفال كان بمثابة المفتاح الرئيسي على خوادم DJI. لم يكن بحاجة إلى اختراق الأنظمة أو استخدام القوة الغاشمة. لم يتحقق بروتوكول MQTT، المستخدم للاتصال بين الروبوتات والسحابة، من صحة الأذونات لكل جهاز بشكل صحيح. وأدى ذلك إلى الوصول غير المصرح به إلى المعلومات الحساسة لآلاف المستخدمين دون علمهم.

أكدت شركة DJI وجود المشكلة عند الإخطار. نفذت الشركة تصحيحات في تحديثين تلقائيين في أوائل فبراير 2026. وقد قيدت هذه التحديثات الوصول غير المصرح به وتم تطبيقها دون الحاجة إلى تدخل أصحاب الأجهزة. أثر الخلل بشكل أساسي على الاتصال المستند إلى MQTT بين الأجهزة والخادم السحابي.

الاكتشاف أثناء التجربة المنزلية

استخدم سامي أزدوفال أداة Claude AI من Anthropic لتحليل بروتوكول اتصال Romo. لقد قام بتطوير عميل مخصص قام بتعيين أوامر وحدة تحكم PS5 لحركات الروبوت. وكان الهدف هو جعل العملية أكثر متعة، على غرار لعبة.

أثناء الاختبار، تم توصيل التطبيق بخادم DJI. بدلاً من تلقي البيانات من جهاز Romo الخاص بك فقط، حصل على معلومات من آلاف الأجهزة الأخرى. وتمكن أزدوفال من التحكم في الأجهزة عن بعد والتحقق من مستويات البطارية ومراقبة ما تلتقطه الكاميرات في الوقت الفعلي.

لقد أظهر إمكانية الوصول في الوقت الحقيقي للصحفيين. وفي دقائق معدودة فقط، جمعت أكثر من 100 ألف رسالة قياس عن بعد ترسلها الروبوتات كل بضع ثوانٍ. وتضمنت البيانات حالة التنظيف والعوائق المكتشفة والخرائط التي تم إنشاؤها بواسطة أجهزة الاستشعار.

كيف عملت الثغرة التقنية

يسمح بروتوكول MQTT للأجهزة بنشر موضوعات الرسائل والاشتراك فيها بطريقة خفيفة. في حالة Romo، أرسلت الأجهزة حزمًا ثابتة تحتوي على الرقم التسلسلي والحالة والبيانات المرئية. يقبل الخادم اشتراكات واسعة النطاق دون قيود لكل رمز فردي.

لم تربط المصادقة الرمز المميز بجهاز معين. يتم منح أي رمز مميز صالح وصولاً واسع النطاق. لم يعرض هذا الفيديو والصوت فحسب، بل أظهر أيضًا المخططات التفصيلية للمنازل.

ويشير خبراء الأمن السيبراني إلى حدوث عيوب مماثلة في أجهزة إنترنت الأشياء عندما تكون عناصر التحكم في الوصول إلى السحابة غير كافية. يعزز الحادث المخاطر في المنتجات المتصلة التي ترسم خريطة للبيئات الداخلية.

استجابة DJI والإصلاحات المطبقة

بدأت شركة DJI بالتصحيحات الداخلية في يناير 2026. وبعد التواصل مع أزدوفال ووسائل الإعلام، قامت الشركة بتسريع التحديثات. تم إرسال تصحيحين تلقائيًا في 8 و10 فبراير.

Leia Tambem

اختبار البطارية الجديد يضع هاتف Galaxy S26 Ultra في المقدمة على iPhone 17 Pro Max في التصنيف العالمي

تكشف الأبحاث أن الآباء لا يدركون كيفية استخدام أطفالهم للذكاء الاصطناعي

خصم كبير على هاتف Galaxy S25 Plus يخفض قيمته إلى أقل من 4500 ريال في المتجر الإلكتروني

وذكرت الشركة أنه تم حل المشكلة وأن المعالجة كانت جارية بالفعل قبل الكشف عنها للعامة. وأوضحت متحدثة باسم الشركة أن الثغرة الأمنية تضمنت التحقق من الأذونات على الواجهة الخلفية.

وأشار أزدوفال إلى أن بعض المشكلات البسيطة استمرت في البداية، مثل الوصول إلى مقاطع الفيديو دون رقم تعريف شخصي للأمان. وقد وعدت شركة DJI بمعالجة هذه النقاط الإضافية في التحديثات المستقبلية.

المخاطر التي تهدد مستخدمي الأجهزة الذكية

تمثل المكانس الكهربائية الروبوتية المزودة بالكاميرات والميكروفونات أهدافًا محتملة في الشبكات المنزلية المتصلة. يمكن أن يؤدي الوصول غير المصرح به إلى كشف الروتين اليومي وتخطيطات المنزل والمحادثات الخاصة. وقد أظهرت الحالات السابقة مع العلامات التجارية الأخرى انتهاكات مماثلة.

يسلط الحادث الضوء على الحاجة إلى مصادقة صارمة في بروتوكولات إنترنت الأشياء. يجب تحديد نطاق الرموز المميزة حسب الجهاز وتكون الاشتراكات محدودة. يحتاج المصنعون إلى اختبار موضوعات أحرف البدل والتحقق من صحة الأذونات.

يجب على المستخدمين الحفاظ على البرامج الثابتة المحدثة وشبكات القطاع للأجهزة الذكية. تعمل التدابير البسيطة على تقليل التعرض في النظم البيئية المتصلة.

التأثير على سوق الروبوتات المنزلية

دخلت DJI Romo قطاع فراغ الروبوتات بميزات متقدمة لرسم الخرائط والكاميرا. حدث الفشل بعد وقت قصير من الإطلاق العالمي. وقد يؤثر ذلك على الثقة في منتجات العلامة التجارية المعروفة بالطائرات بدون طيار.

تواجه الشركات في هذا القطاع ضغوطًا متزايدة فيما يتعلق بالأمن. تكشف الحوادث أن سهولة الاتصال تتطلب مراقبة صارمة. تعد هذه الحالة بمثابة تحذير لصناعة إنترنت الأشياء المحلية بأكملها.

شارك Azdoufal الكود الخاص به للتحكم في لوحة الألعاب بعد الإصلاحات. وأكد أنه لم يستخرج البيانات وأبلغ عن المشكلة على الفور.