ثغرات أمانية في أجهزة المكانس الذكية وتداعياتها
كشف تقرير أمني أن ثغرات في اتصال إم كيو تي تي سمحت بالوصول غير المصرح إلى بث الفيديو وبعض البيانات من مكنسات روبوتية منتشرة في عدة دول حول العالم.
أفاد التحقيق بأن أداة تحكم مطورة حاولت التواصل مع خوادم DJI فاستجابت مكنسات عدة بشكل غير مقصود، ما سمح بعرض تغذيات الكاميرا الحية ورسم خرائط لغرف وتحديد مواقع أجهزة عبر عناوين IP تقريبية.
سجلت تقارير استجابة لآلاف الأجهزة خلال دقائق، مع جمع مئات الآلاف من حزم البيانات التي احتوت على أرقام تسلسلية وتقدُّم التنظيف وملاحظات الغرفة ومسافات العمل وبطاريات وبعض المعوقات.
وباستخدام رقم تسلسلي لزائر، وصل إلى بيانات في الوقت الفعلي عن نشاط روبوت في غرفة معينة وبطارية 80%، وأنشأ مخطط أرضية دقيق لمنزل في دولة أخرى.
وتجاوزت القيود الأمنية الوصول إلى تغذية فيديو ROMO غير المقترن في بعض الحالات، في حين أكّد فريق آخر الوصول إلى مصدر قراءة فقط لمقطع كاميرا ROMO غير مقترن.
تفاصيل الثغرات
لم يخترق المهاجم خوادم DJI مباشرة، بل استخرج رمز الجهاز المصادق من بيئات مختلفة، كاشفًا بيانات مستخدمين آخرين، مع وجود آليات تمسح البيانات عند الإغلاق في البداية ولم يكن التحكم عن بُعد أو الوصول إلى الفيديو والميكروفون متاحًا قبل تقليل القيود لاحقًا.
تشير المعطيات إلى أن النظام أتاح في بعض الأحيان وصولًا غير مقصود إلى تغذيات حية وتخطي بعض الحدود الأمنية، مع وجود تأثير محتمل على خصوصية المستخدمين في منازل متعددة حول العالم.
الحلول والتأثيرات
اعترفت DJI بوجود خطأ تحقق صلاحية خلفية في اتصال إم كيو تي تي قد يسمح بالوصول إلى فيديو حي غير مصرح به، مع أن الحوادث كانت نادرة وفي الغالب من قِبل باحثين أمنيين.
نُشرت تصحيحات في 8 و10 فبراير 2026 عبر تحديثات تلقائية، مع تشفير البيانات عبر TLS وتخزينها على خوادم أمازون، ما يحد من إمكانية الوصول غير المصرح ويحسن حماية البيانات في الأجهزة المزودة بكاميرات وميكروفونات.
