सुरक्षा खामी 24 देशों में 7,000 डीजेआई रोमो रोबोट वैक्यूम क्लीनर के कैमरों और मानचित्रों को उजागर करती है

    Bruna
  • em ३ मार्च २०२६
    • Hindi News
Robô aspirador DJI Rom - Robert Way/ Shutterstock.com

Robô aspirador DJI Rom - Robert Way/ Shutterstock.com

एक स्पैनिश सॉफ्टवेयर इंजीनियर ने चीनी कंपनी द्वारा फरवरी 2026 में लॉन्च किए गए डीजेआई रोमो रोबोट वैक्यूम क्लीनर में एक गंभीर सुरक्षा भेद्यता की खोज की। सैमी अज़दौफ़ल का इरादा केवल PlayStation 5 नियंत्रक के साथ अपने डिवाइस को नियंत्रित करने के लिए एक कस्टम एप्लिकेशन बनाने का था। प्रयोग के दौरान, उन्होंने कम से कम 24 देशों में लगभग 7,000 इकाइयों के डेटा तक पहुंच प्राप्त की। दोष के कारण लाइव कैमरा फ़ीड, माइक्रोफ़ोन ऑडियो, होम फ़्लोर प्लान और आईपी पते के आधार पर अनुमानित स्थानों को देखने की अनुमति मिली।

यह घटना इसलिए हुई क्योंकि एज़डौफ़ल के डिवाइस से निकाला गया प्रमाणीकरण टोकन डीजेआई के सर्वर पर मास्टर कुंजी के रूप में काम करता था। उसे सिस्टम में सेंध लगाने या क्रूर बल का उपयोग करने की आवश्यकता नहीं थी। रोबोट और क्लाउड के बीच संचार के लिए उपयोग किया जाने वाला MQTT प्रोटोकॉल, प्रति डिवाइस अनुमतियों को सही ढंग से मान्य नहीं करता है। इसके परिणामस्वरूप हजारों उपयोगकर्ताओं की जानकारी के बिना उनकी संवेदनशील जानकारी तक अनधिकृत पहुंच हो गई।

डीजेआई ने अधिसूचना पर मुद्दे के अस्तित्व की पुष्टि की। कंपनी ने फरवरी 2026 की शुरुआत में दो स्वचालित अपडेट में सुधार लागू किए। इन अपडेट ने अनधिकृत पहुंच को प्रतिबंधित कर दिया और डिवाइस मालिकों के हस्तक्षेप की आवश्यकता के बिना लागू किया गया। दोष ने मुख्य रूप से उपकरणों और क्लाउड सर्वर के बीच एमक्यूटीटी-आधारित संचार को प्रभावित किया।

घरेलू प्रयोग के दौरान खोज

सैमी अज़दौफ़ल ने रोमियो के संचार प्रोटोकॉल का विश्लेषण करने के लिए एंथ्रोपिक के क्लाउड एआई टूल का उपयोग किया। उन्होंने एक कस्टम क्लाइंट विकसित किया जो PS5 कंट्रोलर कमांड को रोबोट की गतिविधियों के अनुसार मैप करता था। लक्ष्य ऑपरेशन को एक गेम के समान और अधिक मज़ेदार बनाना था।

परीक्षण के दौरान, एप्लिकेशन DJI सर्वर से कनेक्ट हो गया। केवल आपके रोमो से डेटा प्राप्त करने के बजाय, इसने हजारों अन्य उपकरणों से जानकारी प्राप्त की। एज़डौफ़ल उपकरणों को दूर से नियंत्रित करने, बैटरी स्तर की जांच करने और वास्तविक समय में कैमरे द्वारा कैप्चर की गई चीज़ों का निरीक्षण करने में सक्षम था।

उन्होंने पत्रकारों के लिए वास्तविक समय तक पहुंच का प्रदर्शन किया। कुछ ही मिनटों में, इसने हर कुछ सेकंड में रोबोट द्वारा भेजे गए 100,000 से अधिक टेलीमेट्री संदेश एकत्र किए। डेटा में सफाई की स्थिति, पता लगाई गई बाधाएं और सेंसर द्वारा उत्पन्न मानचित्र शामिल थे।

तकनीकी खामी कैसे काम करती है

एमक्यूटीटी प्रोटोकॉल उपकरणों को हल्के ढंग से संदेश विषयों को प्रकाशित करने और सदस्यता लेने की अनुमति देता है। रोमो के मामले में, उपकरणों ने सीरियल नंबर, स्थिति और दृश्य डेटा के साथ निरंतर पैकेट भेजे। सर्वर ने प्रत्येक व्यक्तिगत टोकन पर प्रतिबंध के बिना व्यापक सदस्यताएँ स्वीकार कीं।

प्रमाणीकरण ने टोकन को किसी विशिष्ट डिवाइस से नहीं जोड़ा। किसी भी वैध टोकन को व्यापक पहुंच प्रदान की गई। इससे न केवल वीडियो और ऑडियो सामने आए, बल्कि घरों के विस्तृत फ्लोर प्लान भी सामने आए।

साइबर सुरक्षा विशेषज्ञ बताते हैं कि क्लाउड एक्सेस नियंत्रण अपर्याप्त होने पर IoT उपकरणों में भी इसी तरह की खामियां होती हैं। यह घटना इनडोर वातावरण को मैप करने वाले कनेक्टेड उत्पादों में जोखिमों को पुष्ट करती है।

यह भी देखें
  1. Alunos aguardam resultado LSS USS 2026 em Kerala; site oficial apresenta instabilidade para consulta
रोबोट वैक्यूम क्लीनर – युगानोव कॉन्स्टेंटिन/ शटरस्टॉक.कॉम

डीजेआई प्रतिक्रिया और लागू सुधार

डीजेआई ने जनवरी 2026 में आंतरिक सुधार शुरू किया। एज़डौफ़ल और प्रेस आउटलेट्स से संपर्क करने के बाद, कंपनी ने अपडेट में तेजी लाई। 8 और 10 फरवरी को दो पैच स्वचालित रूप से भेजे गए थे।

कंपनी ने कहा कि समस्या का समाधान हो गया है और सार्वजनिक प्रकटीकरण से पहले ही समाधान चल रहा है। एक प्रवक्ता ने बताया कि भेद्यता में बैकएंड पर अनुमतियों को मान्य करना शामिल था।

अज़दौफ़ल ने नोट किया कि कुछ छोटी-मोटी समस्याएँ शुरू में बनी रहीं, जैसे सुरक्षा पिन के बिना वीडियो स्ट्रीम तक पहुँचना। डीजेआई ने भविष्य के अपडेट में इन अतिरिक्त बिंदुओं पर ध्यान देने का वादा किया है।

स्मार्ट डिवाइस उपयोगकर्ताओं के लिए जोखिम

कैमरे और माइक्रोफ़ोन वाले रोबोट वैक्यूम कनेक्टेड होम नेटवर्क में संभावित लक्ष्यों का प्रतिनिधित्व करते हैं। अनधिकृत पहुंच दैनिक दिनचर्या, घर के लेआउट और निजी बातचीत को उजागर कर सकती है। अन्य ब्रांडों के साथ पिछले मामलों में भी इसी तरह के दुर्व्यवहार सामने आए हैं।

यह घटना IoT प्रोटोकॉल में सख्त प्रमाणीकरण की आवश्यकता पर प्रकाश डालती है। टोकन का दायरा डिवाइस के अनुसार होना चाहिए और सदस्यता सीमित होनी चाहिए। निर्माताओं को वाइल्डकार्ड विषयों और अनुमति सत्यापन का परीक्षण करने की आवश्यकता है।

उपयोगकर्ताओं को स्मार्ट उपकरणों के लिए अद्यतन फर्मवेयर और सेगमेंट नेटवर्क बनाए रखना होगा। सरल उपाय जुड़े हुए पारिस्थितिकी तंत्र में जोखिम को कम करते हैं।

घरेलू रोबोट बाज़ार पर प्रभाव

डीजेआई रोमो ने उन्नत मैपिंग और कैमरा सुविधाओं के साथ रोबोट वैक्यूम सेगमेंट में प्रवेश किया है। वैश्विक लॉन्च के तुरंत बाद विफलता हुई। इससे ड्रोन के लिए मशहूर ब्रांड के उत्पादों पर भरोसा प्रभावित हो सकता है।

इस क्षेत्र की कंपनियों को सुरक्षा को लेकर बढ़ते दबाव का सामना करना पड़ रहा है। घटनाएं उजागर करती हैं कि कनेक्टिविटी सुविधा के लिए कठोर निगरानी की आवश्यकता होती है। यह मामला संपूर्ण घरेलू IoT उद्योग के लिए एक चेतावनी के रूप में कार्य करता है।

एज़डौफ़ल ने सुधारों के बाद गेमपैड नियंत्रण के लिए अपना कोड साझा किया। उन्होंने इस बात पर जोर दिया कि उन्होंने डेटा का खनन नहीं किया और समस्या की तुरंत सूचना दी।

Tags: PS5 नियंत्रकएमक्यूटीटी हैकडीजेआई रोमोतकनीकीरोबोट वैक्यूम क्लीनरसुरक्षा विफलता
यह भी देखें
  1. Alunos aguardam resultado LSS USS 2026 em Kerala; site oficial apresenta instabilidade para consulta