تمكن شخص يُدعى سامي أزدوفال من اختراق مجموعة واسعة من المكانس الروبوتية في عدة دول حول العالم، حيث بدأ الأمر برغبته في التحكم عن بُعد بمكنسته الجديدة من طراز DJI Romo باستخدام وحدة تحكم ألعاب PS5، الأمر الذي تطور بشكل غير متوقع إلى استجابة حوالي 7000 مكنسة بالإضافة إلى أكثر من 10000 جهاز آخر مثل محطات الطاقة المحمولة، مما سمح له بالتحكم عن بُعد في هذه الأجهزة وعرض تغذيات الكاميرا الحية ومراقبتها أثناء رسم خرائط الغرف لإنشاء مخططات أرضية دقيقة، كما استطاع تحديد موقع الأجهزة عبر عنوان IP.
تفاصيل الثغرة
وفقًا لتقرير نشر على موقع The Verge، عرض أزدوفال خريطة عالمية تظهر مواقع آلاف أجهزة DJI عبر 24 دولة، حيث تمكن من تسجيل 6700 جهاز في تسع دقائق وجمع أكثر من 100000 حزمة بيانات إم كيو تي تي، التي تحتوي على معلومات مثل الأرقام التسلسلية وملاحظات التنظيف والمسافة المقطوعة ومعلومات البطارية، كما استخدم رقم تسلسلي خاص بزميل له للوصول إلى بيانات في الوقت الفعلي مثل نشاط الروبوت في غرفة معينة، حيث كانت البطارية عند 80%، مما أتاح له إنشاء مخطط أرضية دقيق لمنزل في دولة أخرى.
الثغرات الأمنية
لم يخترق أزدوفال خوادم DJI بل استخرج رمز الجهاز الخاص الذي تم التحقق منه من قبل خوادم في الولايات المتحدة والصين والاتحاد الأوروبي، مما كشف بيانات مستخدمين آخرين، حيث كانت أداته تمسح البيانات عند الإغلاق، وفي البداية لم يتمكن من التحكم عن بُعد أو الوصول إلى الفيديو والميكروفون، حيث قيدت DJI ذلك بعد الإبلاغ.
الحلول والتأثيرات
اعترفت DJI بوجود مشكلة في تحقق صلاحية الخلفية في الاتصال إم كيو تي تي، مما قد يسمح بالوصول إلى فيديو حي غير مصرح، ومع أن الحوادث نادرة وغالبًا ما تكون من قبل باحثين، فقد نشرت الشركة تصحيحات في 8 و10 فبراير 2026 عبر تحديثات تلقائية، حيث تم تشفير البيانات باستخدام تي إل إس وتخزينها على خوادم أمازون في الولايات المتحدة، مما يبرز المخاوف المتعلقة بأمن البيانات لأجهزة تحتوي على كاميرات وميكروفونات، مشابهة لثغرات في أجهزة أخرى مثل إيكوفاكس ودريم وإيكوفاكس وناروال.