یک برنامهنویس جوان به نام «سمی ازدوفال» اخیراً از سر کنجکاوی تصمیم گرفت جاروبرقی رباتیک و هوشمند جدیدش را با دستهی کنسول پلیاستیشن ۵ کنترل کند. اما خیلی زود متوجه شد که به جای دستگاه خودش، کنترل هزاران جاروبرقی رباتیک برند DJI را در سراسر جهان به دست گرفته است!
ماجرا از کجا شروع شد؟
سمی ازدوفال برای اینکه بتواند کنترلر مورد نظرش را بسازد، «توکن خصوصی» (Private Token) دستگاهش را استخراج کرد. توکن خصوصی کلیدی دیجیتالی است که به سرور ثابت میکند شما صاحب دستگاه هستید و اجازه دسترسی به اطلاعاتش را دارید.
اما مشکل اینجا بود که سرورهای DJI هیچ کنترلی بر دسترسی به این کلیدها نداشتند و با در دست داشتن یک توکن میشد به اطلاعات همه دستگاههای متصل به آن سرور دسترسی پیدا کرد!
سدهای امنیتی پوشالی
ازدوفال در کمتر از ۱۰ دقیقه توانست ۶۷۰۰ جاروبرقی رباتیک را در ۲۴ کشور ردیابی و ۱۰۰ هزار بستهی داده را شنود کند. اگر پاوربانکهای برند DJI را هم به فهرست اضافه کنیم، تعداد دستگاههای آسیبپذیر به بیش از ۱۰ هزار گجت میرسید.
نکته نگرانکننده، ضعف شدید در پروتکل امنیتی دوربینهای متصل به این جاروبرقیهاست. با اینکه سازنده مدعی شده برای مشاهده استریم زنده نیاز به پینکد داریم، اما این لایه امنیتی کاملاً توخالیست و به راحتی دور زده میشود.
در واقع باگ سیستم به گونهای است که فید ویدیویی جاروبرقیها، حتی قبل از فعالسازی پروتکلهای امنیتی به سرور ارسال میشود.
ازدوفال حتی موفق شد «وضعیت» رباتها را در کشوری دیگر مشاهده کند (مثلاً در حال نظافت اتاق نشیمن با شارژ ۸۰ درصد) و به نقشهی خانه صاحبان آنها دسترسی یابد!
جاروبرقیهای رباتیک چه اطلاعاتی از شما دارند؟
شاید فکر کنید جاروبرقی صرفاً کف خانه را تمیز میکند، اما حقیقت نگرانکنندهتر از این حرفهاست. جاروبرقیهای رباتیک DJI (و قاعدتا دیگر برندها) هر چند ثانیه یکبار اطلاعات مهم و متعددی به سرورهای سازنده ارسال میکنند:
- نقشه دقیق تمام اتاقهای خانه با ابعاد واقعی؛
- دوربین برای ثبت تصاویر زنده از فضای خانه (در مدلهایی که مجهز به دوربین هستند)؛
- ضبط صدای محیط از طریق میکروفون؛
- تشخیص موقعیت جغرافیایی تقریبی خانه از روی IP؛
- الگوی زمانی نظافت که مشخص میکند صاحب دستگاه چه ساعاتی در منزل است.
ادعای حل مشکل توسط شرکت سازنده
شرکت DJI مدعی شد مشکل را برطرف کرده، اما نیم ساعت بعد ازدوفال هنوز به هزاران دستگاه در سراسر جهان دسترسی داشت. این شرکت در نهایت پس از دو وصله امنیتی متوالی دسترسی غیرمجاز را مسدود کرد؛ هرچند ازدوفال میگوید هنوز بعضی آسیبپذیریها باقی ماندهاند.
مشکل فقط برند DJI نیست
نقض حریم خصوصی از طریق جاروبرقیهای هوشمند داستان آنقدرها تازهای نیست. نگاهی به پرونده سایر برندها نشان میدهد ابعاد مسئله بسیار گستردهتر است. در سال ۲۰۲۴، هکرها کنترل جاروبرقیهای Ecovacs را به دست گرفتند و از اسپیکر آن برای آزار حیوانات خانگی و فحاشی به ساکنان خانه استفاده کردند!
در سال ۲۰۲۵ هم سازمانهای دولتی کره جنوبی گزارش دادند جاروبرقیهای برند Dreame به مهاجمان اجازه میدهند تصویر زنده دوربین را مشاهده کنند. حتی برندهای شناختهشدهتر مانند Wyze و Eufy (از زیرمجموعههای Anker) هم سابقه آنقدرها درخشانی ندارند و در پرونده آنها پنهانکاری درباره نقصهای امنیتی حیاتی در محصولاتشان دیده میشود.
برای امنیت بیشتر چه باید کرد؟
اگر جاروبرقی هوشمند دارید یا میخواهید چنین گجتی بخرید، چند اقدام ساده ریسکها را کاهش میدهد:
- قبل از خرید، سابقه امنیتی برند مورد نظر را بررسی کنید.
- نرمافزار دستگاه را همیشه بهروز نگه دارید. سازندگان معمولاً حفرهها را در آپدیتهای جدید میبندند.
- اگر جاروبرقی دوربین یا میکروفون دارد اما از آنها استفاده نمیکنید، از طریق تنظیمات غیرفعالشان کنید یا اصلا اگر ضرورتی ندارد از مدلهای دارای دوربین و میکروفون استفاده نکنید.
- دسترسی دستگاه به اینترنت را در حد ضرورت محدود کنید؛ بسیاری از قابلیتها بدون اتصال به فضای ابری هم کار میکنند.
فراموش نکنید هر دستگاهی که میکروفون و دوربین دارد و به اینترنت وصل میشود، میتواند ابزاری بالقوه برای جاسوسی باشد؛ مگر اینکه معیارهای حریم خصوصی را خودتان جدی بگیرید و رعایت کنید.
نظر بدهید
نشانی ایمیل شما منتشر نخواهد شد.