Σοβαρό κενό ασφαλείας στις ρομποτικές σκούπες DJI Romo επέτρεψε σε χρήστη να αποκτήσει πρόσβαση σε χιλιάδες συσκευές και δεδομένα χαρτογράφησης σπιτιών.
Η ευπάθεια στις ρομποτικές σκούπες DJI Romo επέτρεψε σε έναν χρήστη να αποκτήσει πρόσβαση σε περίπου 7.000 συσκευές παγκοσμίως.
Το πρόβλημα οφειλόταν σε ελλιπή έλεγχο δικαιωμάτων στους servers της DJI που επέστρεφαν δεδομένα από άλλες συσκευές.
Μετά από ενημέρωση και patches ασφαλείας, το κενό φαίνεται να έχει κλείσει — όμως η υπόθεση αφήνει σημαντικά ερωτήματα για την ασφάλεια των smart home συσκευών.
Ένα σοβαρό πρόβλημα ασφαλείας εντοπίστηκε στις ρομποτικές σκούπες DJI Romo, το οποίο επέτρεψε σε έναν χρήστη να αποκτήσει πρόσβαση σε χιλιάδες συσκευές παγκοσμίως. Η ανακάλυψη έγινε τυχαία όταν προσπάθησε να ελέγξει τη δική του συσκευή με χειριστήριο PlayStation 5.
Η υπόθεση προκαλεί ανησυχίες για την ασφάλεια των συσκευών smart home, ειδικά όσων διαθέτουν κάμερες και μικρόφωνα.
Ο τεχνολόγος Sammy Azdoufal προσπαθούσε απλώς να δημιουργήσει μια εφαρμογή που θα του επέτρεπε να ελέγχει τη δική του DJI Romo με χειριστήριο PS5. Όταν όμως η εφαρμογή του συνδέθηκε με τους servers της DJI, δεν ανταποκρίθηκε μόνο η δική του συσκευή.
Σύμφωνα με την επίδειξη που έγινε, περίπου 7.000 ρομποτικές σκούπες σε όλο τον κόσμο εμφανίστηκαν να ανταποκρίνονται στο σύστημά του.
Ο ίδιος μπορούσε να: δει την ζωντανή εικόνα από τις κάμερες των συσκευών, παρακολουθήσει τη διαδικασία χαρτογράφησης των χώρων ενός σπιτιού, εντοπίσει την κατά προσέγγιση τοποθεσία των συσκευών μέσω IP, λάβει δεδομένα λειτουργίας που στέλνονταν στους servers της DJI κάθε λίγα δευτερόλεπτα.
Σε δοκιμή που έγινε μαζί με δημοσιογράφο, εμφανίστηκαν χιλιάδες συσκευές να στέλνουν δεδομένα όπως αριθμούς σειράς, δωμάτια που καθαρίζονται, εμπόδια και στάθμη μπαταρίας.
Το πρόβλημα φαίνεται να οφείλεται σε ελλιπή έλεγχο δικαιωμάτων στους backend servers της DJI.
Ο Azdoufal εξήγησε ότι απλώς εξήγαγε το private token της δικής του συσκευής — το ψηφιακό κλειδί που επιβεβαιώνει ότι ο χρήστης έχει πρόσβαση στη συσκευή του. Ωστόσο, οι servers της εταιρείας επέστρεφαν δεδομένα και από άλλες συσκευές, κάτι που δεν θα έπρεπε να συμβαίνει.
Αξίζει να σημειωθεί ότι ο ίδιος υποστηρίζει πως δεν παραβίασε κανένα σύστημα, ούτε έκανε brute force ή hacking. Η πρόσβαση προέκυψε απλώς από την επικοινωνία της εφαρμογής του με το cloud της εταιρείας.
Μετά την ενημέρωση της εταιρείας και την επιβεβαίωση του προβλήματος, η DJI προχώρησε σε διορθώσεις.
Η εταιρεία δήλωσε ότι το πρόβλημα είχε ήδη εντοπιστεί εσωτερικά και ήδη κυκλοφόρησε δύο ενημερώσεις ασφαλείας στις αρχές Φεβρουαρίου 2026 με τις διορθώσεις να έχουνε εφαρμοστεί αυτόματα στους servers, χωρίς να απαιτείται ενέργεια από τους χρήστες.
Μετά τις ενημερώσεις, το εργαλείο του Azdoufal δεν μπορούσε πλέον να εντοπίσει ούτε τη δική του συσκευή, γεγονός που δείχνει ότι το κενό ασφαλείας έκλεισε. Η DJI έδωσε 30.000 δολάρια στον “hacker”!
Το περιστατικό αναδεικνύει ένα ευρύτερο πρόβλημα στον χώρο των IoT και smart home συσκευών. Όταν συσκευές όπως ρομπότ σκούπες διαθέτουν κάμερες, μικρόφωνα και λεπτομερείς χάρτες των κατοικιών, η ασφάλεια των servers και των δικαιωμάτων πρόσβασης γίνεται κρίσιμη.
Η περίπτωση της DJI Romo δείχνει ότι ακόμη και χωρίς κακόβουλη πρόθεση, ένα απλό πείραμα μπορεί να αποκαλύψει σοβαρά κενά προστασίας.
Το MacBook Neo είναι το νέο οικονομικό laptop της Apple με τιμή από 699 ευρώ. Δείτε όλες τις διαφορές σε επιδόσεις, οθόνη, μπαταρία και δυνατότητες σε σχέση με το MacBook Air Μ5.
Η TCL παρουσίασε τα νέα TCL CrystalClip open-ear ακουστικά με clip-on σχεδιασμό, Spatial Audio, αυτονομία έως 36 ώρες και ειδική έκδοση με κρύσταλλα Swarovski.
Η Apple ανακοίνωσε το MacBook Neo με chip A18 Pro, οθόνη 13 ιντσών Liquid Retina και αυτονομία έως 16 ώρες. Δείτε χαρακτηριστικά και τιμή.
Η Lenovo παρουσιάζει το Legion Go Fold, ένα πρωτότυπο φορητό gaming PC με αναδιπλούμενη οθόνη 11,6″ και πολλαπλές λειτουργίες χρήσης από handheld έως mini laptop.
A project by Κώστας Βλαχάκης
ΣΥΖΗΤΗΣΗ
Προσθήκη σχόλιου