به گزارش شهرآرانیوز، یک پژوهشگر فناوری به نام سمی آزدوغال وقتی تلاش کرد جاروبرقی رباتیک جدیدش به نام DJI Romo را با دسته بازی پلی‌استیشن کنترل کند، به‌طور غیرمنتظره به مجموعه‌ای از دستگاه‌های دیگر هم دست یافت. او با ساخت یک اپلیکیشن شخصی که به سرور‌های شرکت DJI وصل می‌شد، به‌جای ارتباط با یک دستگاه، پاسخ حدود ۷ هزار ربات نظافتی را از نقاط مختلف جهان دریافت کرد.

این دستگاه‌ها هر سه ثانیه اطلاعاتی از قبیل شماره سریال، وضعیت نظافت، نقشه داخلی خانه، میزان باتری و موقعیت تقریبی خود را به سرور ارسال می‌کردند و آزدوغال توانست حتی با داشتن فقط شماره سریال یکی از این دستگاه‌ها، وضعیت لحظه‌ای آن را مشاهده کند. مثل اینکه در کدام اتاق هستند و چه مقدار شارژ دارند.

او تأکید کرد که سرور‌ها را هک نکرده، بلکه توکن (کلید دسترسی) دستگاه خودش را استخراج کرده و به‌دلیل نقصی در اعتبارسنجی سطح دسترسی در بک‌اند سرور، اطلاعات کلیه دستگاه‌ها در اختیارش قرار گرفت؛ داده‌هایی که از طریق پروتکل MQTT و به‌صورت متن ساده منتقل می‌شدند و رمزگذاری مناسبی نداشتند.

شرکت DJI پس از اطلاع‌رسانی ابتدا اعلام کرد مشکل برطرف شده، اما عملاً تا چند روز بعد این دسترسی‌ها همچنان موجود بود و نهایتاً تا روز بعد به‌طور کامل قطع شد. شرکت بعد‌ها وجود “اشکال در اعتبارسنجی سطح دسترسی در بک‌اند” را تأیید کرد.

این رخداد نگرانی‌های جدی درباره امنیت دستگاه‌های خانگی هوشمند به‌وجود آورده؛ بخصوص زمانی که چنین دستگاه‌هایی مجهز به دوربین، میکروفون و سیستم نقشه‌برداری داخلی هستند و داده‌های حساس خانه را روی سرور‌ها ذخیره می‌کنند، کاربران انتظار دارند امنیت و حریم خصوصی اطلاعات آنها به‌طور کامل محافظت شود.

مبع: The Verge

{$sepehr_key_189410}