सुरक्षा खामी 24 देशों में 7,000 डीजेआई रोमो रोबोट वैक्यूम क्लीनर के कैमरों और मानचित्रों को उजागर करती है

एक स्पैनिश सॉफ्टवेयर इंजीनियर ने चीनी कंपनी द्वारा फरवरी 2026 में लॉन्च किए गए डीजेआई रोमो रोबोट वैक्यूम क्लीनर में एक गंभीर सुरक्षा भेद्यता की खोज की। सैमी अज़दौफ़ल का इरादा केवल PlayStation 5 नियंत्रक के साथ अपने डिवाइस को नियंत्रित करने के लिए एक कस्टम एप्लिकेशन बनाने का था। प्रयोग के दौरान, उन्होंने कम से कम 24 देशों में लगभग 7,000 इकाइयों के डेटा तक पहुंच प्राप्त की। दोष के कारण लाइव कैमरा फ़ीड, माइक्रोफ़ोन ऑडियो, होम फ़्लोर प्लान और आईपी पते के आधार पर अनुमानित स्थानों को देखने की अनुमति मिली।

यह घटना इसलिए हुई क्योंकि एज़डौफ़ल के डिवाइस से निकाला गया प्रमाणीकरण टोकन डीजेआई के सर्वर पर मास्टर कुंजी के रूप में काम करता था। उसे सिस्टम में सेंध लगाने या क्रूर बल का उपयोग करने की आवश्यकता नहीं थी। रोबोट और क्लाउड के बीच संचार के लिए उपयोग किया जाने वाला MQTT प्रोटोकॉल, प्रति डिवाइस अनुमतियों को सही ढंग से मान्य नहीं करता है। इसके परिणामस्वरूप हजारों उपयोगकर्ताओं की जानकारी के बिना उनकी संवेदनशील जानकारी तक अनधिकृत पहुंच हो गई।

डीजेआई ने अधिसूचना पर मुद्दे के अस्तित्व की पुष्टि की। कंपनी ने फरवरी 2026 की शुरुआत में दो स्वचालित अपडेट में सुधार लागू किए। इन अपडेट ने अनधिकृत पहुंच को प्रतिबंधित कर दिया और डिवाइस मालिकों के हस्तक्षेप की आवश्यकता के बिना लागू किया गया। दोष ने मुख्य रूप से उपकरणों और क्लाउड सर्वर के बीच एमक्यूटीटी-आधारित संचार को प्रभावित किया।

घरेलू प्रयोग के दौरान खोज

सैमी अज़दौफ़ल ने रोमियो के संचार प्रोटोकॉल का विश्लेषण करने के लिए एंथ्रोपिक के क्लाउड एआई टूल का उपयोग किया। उन्होंने एक कस्टम क्लाइंट विकसित किया जो PS5 कंट्रोलर कमांड को रोबोट की गतिविधियों के अनुसार मैप करता था। लक्ष्य ऑपरेशन को एक गेम के समान और अधिक मज़ेदार बनाना था।

परीक्षण के दौरान, एप्लिकेशन DJI सर्वर से कनेक्ट हो गया। केवल आपके रोमो से डेटा प्राप्त करने के बजाय, इसने हजारों अन्य उपकरणों से जानकारी प्राप्त की। एज़डौफ़ल उपकरणों को दूर से नियंत्रित करने, बैटरी स्तर की जांच करने और वास्तविक समय में कैमरे द्वारा कैप्चर की गई चीज़ों का निरीक्षण करने में सक्षम था।

उन्होंने पत्रकारों के लिए वास्तविक समय तक पहुंच का प्रदर्शन किया। कुछ ही मिनटों में, इसने हर कुछ सेकंड में रोबोट द्वारा भेजे गए 100,000 से अधिक टेलीमेट्री संदेश एकत्र किए। डेटा में सफाई की स्थिति, पता लगाई गई बाधाएं और सेंसर द्वारा उत्पन्न मानचित्र शामिल थे।

तकनीकी खामी कैसे काम करती है

एमक्यूटीटी प्रोटोकॉल उपकरणों को हल्के ढंग से संदेश विषयों को प्रकाशित करने और सदस्यता लेने की अनुमति देता है। रोमो के मामले में, उपकरणों ने सीरियल नंबर, स्थिति और दृश्य डेटा के साथ निरंतर पैकेट भेजे। सर्वर ने प्रत्येक व्यक्तिगत टोकन पर प्रतिबंध के बिना व्यापक सदस्यताएँ स्वीकार कीं।

प्रमाणीकरण ने टोकन को किसी विशिष्ट डिवाइस से नहीं जोड़ा। किसी भी वैध टोकन को व्यापक पहुंच प्रदान की गई। इससे न केवल वीडियो और ऑडियो सामने आए, बल्कि घरों के विस्तृत फ्लोर प्लान भी सामने आए।

साइबर सुरक्षा विशेषज्ञ बताते हैं कि क्लाउड एक्सेस नियंत्रण अपर्याप्त होने पर IoT उपकरणों में भी इसी तरह की खामियां होती हैं। यह घटना इनडोर वातावरण को मैप करने वाले कनेक्टेड उत्पादों में जोखिमों को पुष्ट करती है।

डीजेआई प्रतिक्रिया और लागू सुधार

डीजेआई ने जनवरी 2026 में आंतरिक सुधार शुरू किया। एज़डौफ़ल और प्रेस आउटलेट्स से संपर्क करने के बाद, कंपनी ने अपडेट में तेजी लाई। 8 और 10 फरवरी को दो पैच स्वचालित रूप से भेजे गए थे।

Leia Tambem

Alunos aguardam resultado LSS USS 2026 em Kerala; site oficial apresenta instabilidade para consulta

AP SSC 2026: Taxa de aprovação sobe para 85,25%; garotas mantêm desempenho superior

Loteria Karunya KR-751 em Kerala divulga vencedores e regras para resgatar prêmio de 1 crore de rúpias

कंपनी ने कहा कि समस्या का समाधान हो गया है और सार्वजनिक प्रकटीकरण से पहले ही समाधान चल रहा है। एक प्रवक्ता ने बताया कि भेद्यता में बैकएंड पर अनुमतियों को मान्य करना शामिल था।

अज़दौफ़ल ने नोट किया कि कुछ छोटी-मोटी समस्याएँ शुरू में बनी रहीं, जैसे सुरक्षा पिन के बिना वीडियो स्ट्रीम तक पहुँचना। डीजेआई ने भविष्य के अपडेट में इन अतिरिक्त बिंदुओं पर ध्यान देने का वादा किया है।

स्मार्ट डिवाइस उपयोगकर्ताओं के लिए जोखिम

कैमरे और माइक्रोफ़ोन वाले रोबोट वैक्यूम कनेक्टेड होम नेटवर्क में संभावित लक्ष्यों का प्रतिनिधित्व करते हैं। अनधिकृत पहुंच दैनिक दिनचर्या, घर के लेआउट और निजी बातचीत को उजागर कर सकती है। अन्य ब्रांडों के साथ पिछले मामलों में भी इसी तरह के दुर्व्यवहार सामने आए हैं।

यह घटना IoT प्रोटोकॉल में सख्त प्रमाणीकरण की आवश्यकता पर प्रकाश डालती है। टोकन का दायरा डिवाइस के अनुसार होना चाहिए और सदस्यता सीमित होनी चाहिए। निर्माताओं को वाइल्डकार्ड विषयों और अनुमति सत्यापन का परीक्षण करने की आवश्यकता है।

उपयोगकर्ताओं को स्मार्ट उपकरणों के लिए अद्यतन फर्मवेयर और सेगमेंट नेटवर्क बनाए रखना होगा। सरल उपाय जुड़े हुए पारिस्थितिकी तंत्र में जोखिम को कम करते हैं।

घरेलू रोबोट बाज़ार पर प्रभाव

डीजेआई रोमो ने उन्नत मैपिंग और कैमरा सुविधाओं के साथ रोबोट वैक्यूम सेगमेंट में प्रवेश किया है। वैश्विक लॉन्च के तुरंत बाद विफलता हुई। इससे ड्रोन के लिए मशहूर ब्रांड के उत्पादों पर भरोसा प्रभावित हो सकता है।

इस क्षेत्र की कंपनियों को सुरक्षा को लेकर बढ़ते दबाव का सामना करना पड़ रहा है। घटनाएं उजागर करती हैं कि कनेक्टिविटी सुविधा के लिए कठोर निगरानी की आवश्यकता होती है। यह मामला संपूर्ण घरेलू IoT उद्योग के लिए एक चेतावनी के रूप में कार्य करता है।

एज़डौफ़ल ने सुधारों के बाद गेमपैड नियंत्रण के लिए अपना कोड साझा किया। उन्होंने इस बात पर जोर दिया कि उन्होंने डेटा का खनन नहीं किया और समस्या की तुरंत सूचना दी।