ثغرة أمنية ضخمة تكشف بيانات آلاف روبوتات التنظيف DJI Romo حول العالم

تمكن باحث أمني يُدعى سامي أزدوفال من اختراق والسيطرة على ما يقارب 7000 روبوت تنظيف من طراز DJI Romo، بالإضافة إلى أكثر من 10000 جهاز آخر، وذلك عن طريق الخطأ أثناء محاولته توصيل مكانسه بريموت تحكم PS5.

بدأت القصة عندما قام أزدوفال بتطوير تطبيق تحكم عن بعد مخصص، وعندما بدأ التطبيق بالتواصل مع خوادم DJI، لم تستجب مكنسته الخاصة فحسب، بل استجاب الآلاف من الأجهزة المنتشرة عالمياً، مما منحه صلاحيات "المدير" على هذه الأجهزة.

هذا الاختراق غير المقصود أتاح لأزدوفال التحكم الكامل عن بعد في الروبوتات، بما في ذلك بث وعرض تغذيات الكاميرا الحية، ومراقبة عملية رسم الخرائط الدقيقة للغرف لإنشاء مخططات أرضية ثنائية الأبعاد، بالإضافة إلى تحديد الموقع التقريبي لكل جهاز عبر عنوان IP.

وفقاً لتقرير نشرته "The Verge"، أظهر أزدوفال خريطة عالمية توضح مواقع آلاف أجهزة DJI في 24 دولة. وخلال تسع دقائق فقط، تمكن من جمع 6700 جهاز وأكثر من 100,000 حزمة بيانات MQTT، التي احتوت على معلومات حساسة مثل الأرقام التسلسلية، حالة البطارية، ومسافات التنظيف، وحتى ملاحظات حول الغرف الممسوحة.

لم يخترق أزدوفال خوادم DJI بشكل مباشر، بل استغل "رمز الجهاز الخاص" الذي كان يُصادق على الاتصال بالخوادم في الولايات المتحدة والصين والاتحاد الأوروبي. وعندما أبلغ أزدوفال عن الثغرة، سارعت DJI للاعتراف بوجود "مشكلة تحقق صلاحية خلفية في اتصال MQTT" قد تسمح بالوصول غير المصرح به للفيديو المباشر، مؤكدة أن الحوادث نادرة. وقد أصدرت الشركة تحديثات تصحيحية في 8 و 10 فبراير 2026، مع تطبيق تشفير TLS للبيانات.

يسلط هذا الحادث الضوء مجدداً على المخاوف الأمنية المحيطة بأجهزة إنترنت الأشياء (IoT) المجهزة بكاميرات وميكروفونات، ويأتي مشابهاً لثغرات سابقة تم اكتشافها في أجهزة تنظيف أخرى مثل Ecovacs و Narwal.