مستغلا ثغرة إلكترونية.. مبرمج يسيطر على 7000 روبوت في 24 دولة
أدى سعي مهندس برمجيات لتوجيه مكنسة روبوتية جديدة من إنتاج شركة صينية باستخدام وحدة تحكم ألعاب فيديو إلى اكتشاف غير متوقع، منحه عن غير قصد إمكانية الوصول إلى بيانات آلاف الأجهزة حول العالم.
وأثناء تطوير تطبيقه الخاص للتحكم عن بُعد، استخدم سامي أزدوفال مساعدًا برمجيًا يعمل بالذكاء الاصطناعي لفهم كيفية تواصل الروبوت مع خوادم شركة DJI السحابية. لكنه اكتشف أن بيانات الاعتماد نفسها التي سمحت له بالتحكم في جهازه، أتاحت له أيضًا الوصول إلى بث مباشر من الكاميرات، وتسجيلات صوتية من الميكروفونات، وخرائط، وبيانات حالة ما يقرب من 7000 مكنسة أخرى في 24 دولة.
وكشفت هذه الثغرة الأمنية عن شبكة ضخمة من الروبوتات المتصلة بالإنترنت، كان من الممكن — لو وقعت في الأيدي الخطأ — أن تتحول إلى أدوات مراقبة دون علم أصحابها.
ولحسن الحظ، لم يستغل أزدوفال هذه الثغرة، بل شارك اكتشافه مع موقع The Verge، الذي تواصل بدوره مع شركة DJI للإبلاغ عن الخلل. ورغم تأكيد الشركة لمجلة Popular Science أنها قامت "بحل" المشكلة، فإن الحادثة تسلط الضوء على تحذيرات خبراء الأمن السيبراني بشأن مخاطر الأجهزة المنزلية الذكية المتصلة بالإنترنت.
الروبوت المعني هو DJI Romo، مكنسة كهربائية منزلية ذاتية التشغيل يبلغ سعرها نحو 2000 دولار أمريكي، ويقارب حجمها حجم كلب كبير أو ثلاجة صغيرة عند وضعها على قاعدة الشحن. وكغيرها من المكانس الروبوتية، فهي مزودة بمجموعة من أجهزة الاستشعار التي تساعدها على التنقل واكتشاف العوائق. ويمكن للمستخدمين جدولة عملها والتحكم بها عبر تطبيق مخصص، إلا أنها مصممة للعمل بشكل مستقل معظم الوقت.
ولكي يعمل روبوت التنظيف "رومو"، أو أي مكنسة كهربائية حديثة ذاتية التشغيل، فإنه يحتاج إلى جمع بيانات مرئية باستمرار من المكان الذي يعمل فيه، إضافة إلى تحليل تفاصيل تساعده على التمييز بين الغرف، مثل التفريق بين المطبخ وغرفة النوم. وتُخزن بعض هذه البيانات على خوادم الشركة بدلًا من الجهاز نفسه.
وقد أتاح خلل في نظام الخوادم للمهندس إمكانية الوصول إلى عدد كبير من الروبوتات كما لو كان مالكها، ما مكنه من مشاهدة البث المباشر للكاميرات، وتفعيل الميكروفونات، وحتى الاطلاع على مخططات ثنائية الأبعاد للمنازل التي تعمل فيها الأجهزة. كما كشفت عناوين IP الخاصة بالروبوتات عن مواقعها التقريبية.
وأكد أزدوفال أن ما قام به لا يرقى إلى مستوى "الاختراق"، بل كان اكتشافًا غير مقصود لثغرة أمنية خطيرة.
من جانبها، صرحت الشركة بأنها رصدت الثغرة وعالجتها من خلال تحديثين تم تطبيقهما تلقائيًا، وأضافت أنها تعتزم مواصلة إدخال تحسينات أمنية إضافية دون الكشف عن تفاصيلها.