प्लेस्टेशन कंट्रोलर ऐप के कारण 6,700 रोबोट वैक्यूम पर आकस्मिक नियंत्रण, सुरक्षा खामी का खुलासा

संयुक्त राज्य अमेरिका - इख़बारी समाचार एजेंसी

प्लेस्टेशन कंट्रोलर ऐप के कारण 6,700 रोबोट वैक्यूम पर आकस्मिक नियंत्रण, सुरक्षा खामी का खुलासा

स्मार्ट होम उपकरणों की संभावित कमजोरियों को उजागर करने वाले एक चौंकाने वाले खुलासे में, DJI के रोबोट वैक्यूम लाइनअप में एक व्यापक सुरक्षा खामी का पता चला है। इस समस्या ने दुनिया भर में हजारों उपकरणों से संवेदनशील उपयोगकर्ता डेटा तक अनधिकृत पहुंच प्रदान की। यह भेद्यता गलती से एक तकनीक उत्साही और ऐप डेवलपर द्वारा सामने आई, जो प्लेस्टेशन कंट्रोलर का उपयोग करके अपने स्वयं के डिवाइस को नियंत्रित करने के साथ प्रयोग कर रहा था। जो एक व्यक्तिगत परियोजना के रूप में शुरू हुआ, उसने अप्रत्याशित रूप से वैक्यूम के एक विशाल नेटवर्क तक पहुंच खोल दी, जिससे फ्लोर प्लान और लाइव वीडियो फ़ीड सामने आए।

यह घटना तब सामने आई जब AI रणनीतिकार सैमी एडौफाल ने अपने DJI रोबोट वैक्यूम के संचार प्रोटोकॉल को रिवर्स-इंजीनियर करने का फैसला किया। उनका लक्ष्य एक ऐसा एप्लिकेशन बनाना था जो उन्हें प्लेस्टेशन कंट्रोलर का उपयोग करके डिवाइस को संचालित करने की अनुमति दे। हालांकि, परिणाम उनके शुरुआती इरादों से कहीं आगे निकल गया। केवल अपने एक यूनिट पर नियंत्रण पाने के बजाय, एडौफाल ने खुद को दुनिया भर में फैले लगभग 6,700 अन्य रोबोट वैक्यूम उपकरणों तक पहुंचने और उन्हें नियंत्रित करने की क्षमता के साथ पाया।

एडौफाल ने द वर्ज को स्पष्ट किया कि उन्होंने कोई दुर्भावनापूर्ण हैकिंग नहीं की थी। उनके कार्यों में उनके स्वयं के रोबोट वैक्यूम के लिए निजी प्रमाणीकरण टोकन प्राप्त करना शामिल था। "मैंने कोई नियम नहीं तोड़ा, मैंने कोई बाधा पार नहीं की, मैंने क्रैक नहीं किया, ब्रूट फोर्स नहीं किया, कुछ भी नहीं किया," उन्होंने कहा। यह टोकन, जो उनके डिवाइस के लिए था, ने अनजाने में अमेरिका, यूरोप और चीन सहित दुनिया भर के लाइव सर्वर तक पहुंच प्रदान की। इस खोज ने एक महत्वपूर्ण सुरक्षा चूक को उजागर किया जिसके गंभीर गोपनीयता निहितार्थ हो सकते थे।

सौभाग्य से, एडौफाल ने जिम्मेदारी से कार्य करने का फैसला किया। भेद्यता का फायदा उठाने के बजाय, उन्होंने तुरंत DJI को समस्या की सूचना दी। कंपनी ने रिपोर्ट स्वीकार की और बाद में सुरक्षा छेद को ठीक करने के लिए कई अपडेट जारी किए। ये अपडेट उपयोगकर्ताओं से कोई कार्रवाई की आवश्यकता के बिना डिज़ाइन किए गए थे, जिससे प्रभावित ग्राहकों के लिए त्वरित समाधान सुनिश्चित हुआ। सुधार के बावजूद, एडौफाल ने नोट किया कि कुछ अवशिष्ट सुरक्षा चिंताएं बनी हुई हैं। उन्होंने सुरक्षा पिन के बिना DJI रोबोट वैक्यूम से वीडियो फ़ीड स्ट्रीम करने की निरंतर क्षमता और इसके गंभीर स्वभाव के कारण कम से कम एक अन्य अघोषित समस्या पर प्रकाश डाला।

महत्वपूर्ण रूप से, एडौफाल ने इस बात पर जोर दिया कि समस्या का मूल कारण केवल कमजोर एन्क्रिप्शन नहीं था। उन्होंने खुलासा किया कि रोबोट वैक्यूम द्वारा अपने सर्वर पर प्रसारित डेटा सादे पाठ (plain text) में संग्रहीत किया गया था। इसका मतलब है कि सर्वर तक पहुंच प्राप्त करने वाला कोई भी व्यक्ति डेटा को आसानी से पढ़ और समझ सकता था, जिससे यह उल्लंघनों के प्रति अत्यधिक संवेदनशील हो जाता था। यह निष्कर्ष केवल संचार एन्क्रिप्शन से परे, डेटा प्रबंधन और भंडारण प्रथाओं में एक मौलिक दोष की ओर इशारा करता है।

यह घटना स्मार्ट वैक्यूम क्लीनर द्वारा उपयोगकर्ता डेटा को गलत तरीके से संभालने का कोई अकेला मामला नहीं है। पिछले साल, एक इंजीनियर ने पाया कि उसका iLife A11 स्मार्ट वैक्यूम लगातार निर्माता को लॉग और टेलीमेट्री डेटा भेज रहा था। जब उसने अपने नेटवर्क पर इन प्रसारणों को अवरुद्ध करने का प्रयास किया, तो निर्माता ने डिवाइस को दूरस्थ रूप से अक्षम करने के लिए एक "किल कोड" भेजा, जिससे वह प्रभावी रूप से बेकार हो गया। इंजीनियर, अपनी तकनीकी विशेषज्ञता के माध्यम से, वैक्यूम को पुनर्जीवित करने और इसे पूरी तरह से ऑफ़लाइन संचालित करने में कामयाब रहा, यह प्रदर्शित करते हुए कि क्लाउड कनेक्टिविटी हमेशा कार्यक्षमता के लिए आवश्यक नहीं है।

जैसे-जैसे अधिक उपभोक्ता सुविधा के लिए इंटरनेट ऑफ थिंग्स (IoT) उपकरणों को अपना रहे हैं, डेटा गोपनीयता और सुरक्षा के बारे में चिंताएं बढ़ रही हैं। रोबोट वैक्यूम, स्मार्ट कैमरे और कनेक्टेड उपकरण जैसे उपकरण अद्वितीय उपयोग में आसानी प्रदान करते हैं, लेकिन साथ ही संभावित शोषण के लिए नए रास्ते भी बनाते हैं। DJI रोबोट वैक्यूम घटना एक कठोर अनुस्मारक के रूप में कार्य करती है कि सुरक्षा कमजोरियां अप्रत्याशित रूप से उत्पन्न हो सकती हैं, यहां तक ​​कि गैर-दुर्भावनापूर्ण छेड़छाड़ से भी। यदि आम व्यक्ति अनजाने में हजारों लोगों के निजी डेटा पर ठोकर खा सकते हैं, तो एक समन्वित दुर्भावनापूर्ण हमले से संभावित नुकसान कई गुना अधिक हो सकता है।

यह घटना प्रौद्योगिकी निर्माताओं की IoT उत्पादों के डिजाइन और विकास में सुरक्षा और गोपनीयता को प्राथमिकता देने की महत्वपूर्ण आवश्यकता पर प्रकाश डालती है। मजबूत सुरक्षा परीक्षण, सुरक्षित डेटा प्रबंधन प्रथाएं और मजबूत एन्क्रिप्शन सर्वोपरि हैं। उपयोगकर्ताओं को भी सतर्क रहना चाहिए, यह सुनिश्चित करते हुए कि उनके उपकरणों को अपडेट किया गया है और उनके घरेलू नेटवर्क सुरक्षित हैं ताकि कनेक्टेड तकनीक से जुड़े संभावित जोखिमों को कम किया जा सके।

इख़बारी समाचार एजेंसी