الولايات المتحدة - وكالة أنباء إخباري
مهندس برمجيات يكشف ثغرة أمنية خطيرة في المكانس الروبوتية لشركة DJI
في حادثة تثير القلق العميق حول أمن الأجهزة المنزلية الذكية، تمكن مهندس برمجيات، أثناء محاولته تعديل مكنسة روبوتية من طراز DJI، من الوصول عن غير قصد إلى آلاف الأجهزة الأخرى حول العالم. هذه الواقعة، التي كشف تفاصيلها موقع The Verge، سلطت الضوء على ثغرة أمنية خطيرة في خوادم شركة DJI، والتي كان من الممكن أن تمنح المتسللين وصولاً غير مصرح به إلى بيانات حساسة تشمل بثًا مباشرًا من الكاميرات، وتسجيلات صوتية من الميكروفونات، وخرائط للمنازل، وبيانات حالة لحوالي 7000 مكنسة روبوتية موزعة عبر 24 دولة.
بدأت القصة عندما حاول المهندس سامي أزدوفال، وهو مهندس برمجيات، بناء تطبيق تحكم عن بعد خاص به لمسح أرضيات منزله باستخدام مكنسة DJI الروبوتية. ولتحقيق ذلك، لجأ إلى مساعد ترميز يعتمد على الذكاء الاصطناعي للمساعدة في فهم كيفية تواصل الجهاز مع خوادم DJI السحابية. خلال عملية الهندسة العكسية هذه، اكتشف أزدوفال أن بيانات الاعتماد التي استخدمها للتحكم في جهازه الخاص كانت تمنحه أيضًا وصولاً إلى بيانات من آلاف الأجهزة الأخرى. لم تقتصر هذه البيانات على معلومات التشغيل الأساسية، بل امتدت لتشمل لقطات حية من كاميرات الأجهزة، وصوت الميكروفونات المدمجة، وخرائط مفصلة للمساحات التي تقوم هذه المكانس بمسحها. لقد كشفت هذه الثغرة الأمنية الخلفية عن جيش من الروبوتات المتصلة بالإنترنت، والتي كان من الممكن، في الأيدي الخطأ، أن تتحول إلى أدوات تجسس متطورة دون أن يدرك أصحابها ذلك أبدًا.
اقرأ أيضاً
- رونالدو ومودريتش يتحديان الزمن في قمة البرتغال وكرواتيا بالمونديال
- انفجار دمشق: تسعة قتلى وعشرون جريحاً في مقهى بوسط العاصمة
- يويفا يرفض تطبيق قاعدة فيفا الجديدة لطرد اللاعبين لتغطية أفواههم
- مانشستر سيتي يضم جوهرة إنجلترا إليوت أندرسون بصفقة 155 مليون دولار
- إيران ولبنان: محادثات الدوحة تسفر عن نتائج إيجابية وسط تطورات جنوب لبنان
لحسن الحظ، لم يستغل أزدوفال هذه الثغرة لأغراض خبيثة. وبدلاً من ذلك، قام بمشاركة اكتشافاته مع موقع The Verge، الذي سارع بدوره إلى إبلاغ شركة DJI بالخلل الأمني. أكدت DJI لموقع Popular Science أن القضية قد تم "حلها"، لكن هذه الحادثة المروعة تعزز التحذيرات التي يطلقها خبراء الأمن السيبراني منذ فترة طويلة بشأن المخاطر التي تشكلها الأجهزة الروبوتية والأجهزة المنزلية الذكية المتصلة بالإنترنت، والتي تعتبر أهدافًا جذابة للمتسللين.
مع تزايد انتشار الروبوتات المنزلية في المنازل، بما في ذلك النماذج الأكثر تفاعلية وشبيهة بالبشر، قد تصبح مثل هذه الثغرات الأمنية أكثر صعوبة في الاكتشاف. علاوة على ذلك، فإن أدوات الترميز المدعومة بالذكاء الاصطناعي، والتي تسهل على الأفراد ذوي المعرفة التقنية المحدودة استغلال عيوب البرمجيات، قد تزيد من تفاقم هذه المخاوف. وقد أكد أحد المستخدمين عبر تويتر، وهو @n0tsa، أنه تم إصلاح الثغرة "الضخمة" في خوادم DJI، مشيرًا إلى أن هذا الخلل كان يسمح بالتحكم عن بعد في أكثر من 10000 روبوت، بما في ذلك الحركة والكاميرا والميكروفون.
الروبوت المعني بهذه الحادثة هو DJI Romo، وهو مكنسة منزلية مستقلة تم إطلاقها لأول مرة في الصين العام الماضي وتتوسع حاليًا إلى دول أخرى. يباع بسعر يقارب 2000 دولار أمريكي، وهو بحجم كلب كبير أو ثلاجة صغيرة عند إرسائه على محطته الأساسية. مثل غيره من المكانس الروبوتية، تم تجهيزه بمجموعة من المستشعرات التي تساعده على التنقل في محيطه واكتشاف العقبات. يمكن للمستخدمين جدولته والتحكم فيه عبر تطبيق، ولكنه مصمم لقضاء معظم وقته في التنظيف والمسح بشكل مستقل.
لكي يعمل Romo، أو أي مكنسة روبوتية مستقلة حديثة، فإنه يحتاج إلى جمع البيانات المرئية باستمرار من البيئة التي يعمل فيها. كما يحتاج إلى فهم تفاصيل محددة حول ما يميز المطبخ عن غرفة النوم، حتى يتمكن من التمييز بينهما. يتم تخزين بعض بيانات المستشعرات هذه عن بُعد على خوادم DJI بدلاً من الجهاز نفسه. لكي تنجح فكرة أزدوفال في إنشاء وحدة تحكم DIY، كان بحاجة إلى طريقة لتطبيق هاتفه للتواصل مع خوادم DJI واستخراج رمز أمني يثبت أنه مالك الروبوت.
ولكن بدلاً من التحقق من رمز واحد فقط، منحت الخوادم الوصول إلى مجموعة كبيرة من الروبوتات، مما جعله يبدو وكأنه المالك الشرعي لها جميعًا. هذا الخطأ الأمني سمح لأزدوفال بالوصول إلى بث الكاميرا المباشر وتفعيل الميكروفونات. كما يدعي أنه تمكن من تجميع خطط ثنائية الأبعاد للمنازل التي كانت تعمل فيها المكانس. وسمح له فحص عناوين IP الخاصة بالروبوتات بتحديد مواقعها التقريبية. يؤكد أزدوفال أن أيًا من هذه الإجراءات لا يعتبر "اختراقًا" من جانبه، بل هو مجرد تعثر على مشكلة أمنية كبيرة.
أوضحت DJI في بيان لموقع Popular Science: "حددت DJI ثغرة أمنية تؤثر على DJI Home من خلال مراجعة داخلية في أواخر يناير وبدأت في معالجتها على الفور". وأضافت الشركة: "تمت معالجة المشكلة من خلال تحديثين، مع نشر تصحيح أولي في 8 فبراير وتحديث متابعة مكتمل في 10 فبراير. تم نشر الإصلاح تلقائيًا، ولا يتطلب الأمر أي إجراء من المستخدم". وتعهدت الشركة "بالاستمرار في تنفيذ تحسينات أمنية إضافية" دون تحديد طبيعتها.
تأتي المخاوف الأمنية المتعلقة بـ DJI في وقت يتزايد فيه القلق العام بشأن قدرات المراقبة التي تتمتع بها تقنيات المنزل الذكي. ففي وقت سابق من هذا الشهر، شهدت وسائل التواصل الاجتماعي تدفقًا من مالكي كاميرات Ring بعد تفسير إعلان مثير للجدل لميزة "البحث عن الحيوانات الأليفة" على أنه حصان طروادة للمراقبة الأوسع. وفي الوقت نفسه، أعادت تقارير تفيد بأن Google تمكنت من استرداد لقطات فيديو من كاميرا Nest Doorbell للمساعدة في تحقيق في اختطاف (على الرغم من المؤشرات السابقة بأن اللقطات قد تم حذفها) النقاش حول مدى سيطرة المستهلكين على بياناتهم الحساسة.
أخبار ذات صلة
- أبرز المستجدات العلمية: روبوتات الكونغ فو بالذكاء الاصطناعي، حساء الانفجار العظيم، وممارسات الدفن القديمة
- اكتشافات رائدة وأسرار قديمة: روبوتات الذكاء الاصطناعي مقاتلة الكونغ فو، وإعادة خلق حساء الانفجار العظيم، وأسرار دفن العصر الحجري الحديث تميز أسبوعًا علميًا محوريًا
- جماجم فيتنامية عمرها 2000 عام تكشف عن ممارسة دائمة لتسويد الأسنان: جمالية ثقافية مستمرة
- جمجمة عمرها 2000 عام تكشف عن عادة تلوين الأسنان باللون الأسود في فيتنام القديمة
- ميكروب 'أسغارد' القديم قد يكون استخدم الأكسجين قبل وفرته بوقت طويل على الأرض، مقدمًا مفتاحًا جديدًا لأصول الحياة المعقدة
بالإضافة إلى ذلك، يحذر المشرعون من كلا الحزبين السياسيين في الولايات المتحدة منذ سنوات من أن DJI وغيرها من الشركات التكنولوجية الصينية تشكل تهديدًا أمنيًا فريدًا. وعلى الرغم من أن الأدلة على هذه الادعاءات قد تكون غامضة، إلا أنها ساعدت في تبرير حظر بعض المنتجات المصنوعة في الصين. المفارقة في العديد من المكانس الروبوتية وغيرها من الأجهزة المنزلية الذكية هي أنها، كفئة، تمتلك تاريخًا طويلاً من الممارسات الأمنية المشكوك فيها، على الرغم من أنها تعمل في بعض أكثر مساحاتنا خصوصية. وتشير جميع الدلائل إلى أن الشخص العادي سيرحب قريبًا بالمزيد من الكاميرات والميكروفونات في منازله، وليس أقل. فاعتبارًا من عام 2020، تقدر شركة الأبحاث السوقية Parks Associates أن 54 مليون أسرة أمريكية لديها جهاز واحد على الأقل منزلي ذكي مثبت. وتظهر استطلاعات أخرى أن أولئك الذين يمتلكون جهازًا واحدًا غالبًا ما يرغبون في المزيد.
كما أن أنواع الأجهزة التي تدخل المنازل أصبحت أكثر تطوراً. على الرغم من أنها لا تزال في مراحلها الأولى، تتسابق شركات مثل Tesla و Figure وغيرها لبناء روبوتات مستقلة شبيهة بالبشر يمكنها العيش في المنزل وأداء المهام. وتبيع شركة تسمى 1X بالفعل أحد هذه الروبوتات الشبيهة بالبشر، مدعية أنها يمكنها تنظيف الأطباق وتكسير الجوز - وإن كان ذلك غالبًا بمساعدة بشرية. ولكن في نهاية المطاف، لكي تعمل أي من هذه الخادمات الروبوتية المنزلية بفعالية، فإنها ستحتاج إلى وصول غير مسبوق إلى التفاصيل الحميمة لمنازل أصحابها. وبالنسبة للمطارد أو المخترق، يمثل هذا منجم ذهب محتمل. والأمر المثير للقلق هو أن أزدوفال وجد نفسه متورطًا في هذه الفوضى على الرغم من أن كل ما أراده هو قيادة روبوته باستخدام عصا التحكم، وهو ما نجح فيه في النهاية.