یک نقص امنیتی که هزاران ربات جاروبرقی DJI Romo را در معرض دسترسی غیرمجاز قرار داده بود، به طور ناخواسته پس از آن فاش شد که یک علاقه‌مند به فناوری، اپلیکیشنی برای کنترل دستگاه خود با کنترلر پلی‌استیشن ساخت. به گزارش The Verge، این مشکل به اپلیکیشن اجازه می‌داد تا نقشه‌های دقیق خانه را بازیابی کند، به فیدهای زنده دوربین و میکروفون دسترسی یابد و حتی دستگاه‌های آسیب‌دیده را از راه دور کنترل کند.

این موضوع به طور تصادفی توسط استراتژیست هوش مصنوعی، سامی ازدوفال، کشف شد. او از Claude Code برای مهندسی معکوس پروتکل مورد استفاده DJI Romo برای ارتباط با سرورهایش استفاده کرد. اما به جای اینکه فقط به او اجازه دسترسی به دستگاه خودش را بدهد، کلیدهای حدود ۶۷۰۰ ربات جاروبرقی واقع در سراسر جهان را در اختیارش قرار داد. ازدوفال گفت که او به سیستم‌های DJI هک نکرده است – تنها کاری که انجام داد این بود که توکن خصوصی جاروبرقی Romo خودش را به دست آورد. او به The Verge گفت: «من هیچ قانونی را نقض نکردم، دور نزدم، کرک نکردم، حمله Brute Force انجام ندادم، هیچ کدام.» به همین دلیل، او توانست به سرورهای زنده در سراسر جهان، از جمله ایالات متحده، اروپا و حتی چین دسترسی پیدا کند.

خوشبختانه، او از این دانش برای سوءاستفاده از حریم خصوصی دیگران استفاده نکرد. او با DJI در مورد این مشکل تماس گرفت و شرکت در نهایت آن را از طریق چند به‌روزرسانی که نیازی به اقدام کاربر نداشت، حل کرد. با این حال، این استراتژیست هوش مصنوعی می‌گوید که هنوز چند مشکل حل‌نشده وجود دارد که باید به آن‌ها رسیدگی شود. این موارد شامل قابلیت پخش زنده ویدئوی DJI Romo بدون پین امنیتی و یک مشکل افشا نشده دیگر به دلیل شدت آن است. مهم‌تر از آن، ازدوفال اشاره کرد که هسته اصلی مشکل در رمزنگاری مورد استفاده ربات جاروبرقی هنگام ارتباط با سرور آن نیست، بلکه در این است که تمام داده‌ها به صورت متن ساده ذخیره می‌شوند و هر کسی که به سرور دسترسی پیدا کند، می‌تواند به راحتی آن‌ها را بخواند.

این اولین بار نیست که یک ربات جاروبرقی در مدیریت داده‌هایی که جمع‌آوری می‌کند، دچار مشکل شده است. درست سال گذشته، یک مهندس کشف کرد که جاروبرقی هوشمند iLife A11 او به طور مداوم گزارش‌ها و داده‌های تله‌متری را به سازنده ارسال می‌کند. هنگامی که او از گزارش دادن تمام آن اطلاعات از طریق شبکه خود جلوگیری کرد، سازنده یک کد قطع‌کننده برای غیرفعال کردن دستگاه ارسال کرد و عملاً آن را از راه دور از کار انداخت. با کمی دستکاری و نبوغ، او توانست دستگاه خود را احیا کرده و به طور کامل به صورت محلی از آن استفاده کند، که ثابت می‌کند یک ربات جاروبرقی برای عملکرد مورد نظر نیازی به اتصال ۲۴/۷ به ابر ندارد.

بسیاری از کاربران دستگاه‌های هوشمند IoT را به دلیل راحتی که به ارمغان می‌آورند، خریداری و در خانه‌های خود نصب می‌کنند. اما حوادثی مانند این نشان می‌دهد که چقدر می‌توانند خطرناک باشند، با دسترسی تصادفی علاقه‌مندان به این سیستم‌ها به طور ناخواسته. این موضوع چندین هشدار جدی را مطرح می‌کند، با محققان امنیتی که اشاره می‌کنند اگر افراد عادی بتوانند به داده‌های خصوصی هزاران نفر از طریق این گجت‌ها دست پیدا کنند، یک حمله هماهنگ می‌تواند بسیار مخرب‌تر از آنچه پیش‌بینی می‌شود باشد.