هکر بدون انجام هیچ‌گونه هک پیچیده‌ای و تنها با استخراج توکن شخصی دستگاه خودش به هزاران دستگاه دیگر دسترسی پیدا کرده است.

شرکت DJI که بیشتر با پهپادهای خود شناخته می‌شود، اخیراً با DJI Romo به بازار جاروبرقی های رباتیک هم ورود کرده اما این موضوع اکنون جنجال بزرگی به پا کرده است. طبق گزارش‌های منتشر شده، یک حفره امنیتی وحشتناک در این دستگاه پیدا شده که حریم خصوصی هزاران کاربر را به خطر انداخته است.

طبق این گزارش، شخصی به نام «سامی ازدوفال» (Sammy Azdoufal)، مدیر استراتژی AI در یک شرکت اجاره ویلا، تصمیم گرفت برای سرگرمی، جاروبرقی جدید خود را با کنترلر کنسول PS5 کنترل کند. اما زمانی که اپلیکیشن دست‌ساز او شروع به برقراری ارتباط با سرورهای DJI کرد، اتفاق عجیبی افتاد و به جای یک جاروبرقی، ۷,۰۰۰ جاروبرقی از سراسر جهان به دستورات او پاسخ دادند.

نحوه هک جاروبرقی رباتیک DJI Romo
ازدوفال در گفتگو با رسانه The Verge توضیح داده که او بدون انجام هیچ‌گونه هک پیچیده‌ای، تنها با استخراج توکن شخصی (Token) دستگاه خودش، توانسته به اطلاعات هزاران کاربر دیگر دسترسی پیدا کند.

با انجام همین کار ساده، او توانسته ربات‌ها را در خانه‌های مردم هدایت کند، تصاویر زنده دوربین آنها را ببیند و حتی صدای محیط را بشنود، به نقشه‌های دوبعدی دقیق از طبقات خانه‌های کاربران دسترسی پیدا کند و همچنین موقعیت تقریبی دستگاه آنها را از طریق آدرس IP پیدا کند.

برای اثبات این ادعا، ازدوفال یک دموی زنده نیز اجرا کرده است. تنها در عرض ۹ دقیقه، لپ‌تاپ او ۶,۷۰۰ دستگاه DJI را در ۲۴ کشور مختلف شناسایی و بیش از ۱۰۰ هزار پیام از آنها دریافت کرده است. این پیام‌ها شامل شماره سریال، وضعیت شارژ، اطلاعات اتاق درحال نظافت و موانع موجود در مسیر بود.

حتی در بخشی از این گفتگو، خبرنگار The Verge شماره سریال جاروبرقی همکار خود را به او داد و ازدوفال بلافاصله توانست ببیند که ربات درحال تمیز کردن پذیرایی است و ۸۰ درصد شارژ دارد. سپس در عرض چند دقیقه، نقشه دقیق خانه آن همکار روی مانیتور نمایان شد.

پاسخ DJI به مشکل امنیتی بزرگ محصول خود
شرکت DJI در پاسخ به این ادعا، ابتدا مدعی شده که مشکل مذکور را از قبل حل کرده است. اما شواهد نشان داده که ادعای این شرکت درست نیست و ازدوفال حتی پس از بیانیه DJI هم به هزاران ربات دسترسی داشته است. تنها پس از فشارهای رسانه‌ای بود که DJI بالاخره وجود «مشکل سطح دسترسی در بخش بک‌اِند» را پذیرفت. در بخشی از بیانیه این شرکت نوشته شده است:

«این آسیب‌پذیری مربوط به نقصی در سیستم تأیید سطح دسترسی بک‌اِند (Backend Permission Validation) بوده که بر ارتباطات مبتنی بر پروتکل MQTT بین دستگاه و سرور تأثیر می‌گذاشت. هرچند این نقص پتانسیلی برای دسترسی غیرمجاز به ویدیوهای زنده دستگاه‌های ROMO ایجاد کرده بود، اما تحقیقات ما تأیید می‌کند که موارد وقوع واقعی آن بسیار نادر بوده است. تقریباً تمام فعالیت‌های شناسایی‌شده مربوط به محققان امنیتی مستقلی بود که دستگاه‌های خود را برای ارائه گزارش آزمایش می‌کردند و تنها چند مورد استثنای احتمالی وجود داشت.»

هرچند DJI در بیانیه خود ادعا کرده که اکنون این حفره بزرگ را مسدود کرده، اما ازدوفال معتقد است هنوز آسیب‌پذیری‌های دیگری وجود دارد که این شرکت تمایلی به شنیدن آنها ندارد.

از سویی دیگر، عمومی‌شدن این موضوع باعث شده تا محققان امنیتی هشدار بدهند که حتی اگر سرورهای DJI در آمریکا باشند، کارمندان آن در چین همچنان می‌توانند به راحتی به این داده‌ها دسترسی پیدا کنند.