Sadə hücum üsulu minlərlə DJI Romo robot tozsoranına çıxış imkanı yaradıb

DJI’nin ilk robot tozsoranı DJI Romo ilə bağlı aşkar edilən ciddi təhlükəsizlik problemi nəticəsində bir istifadəçi təsadüfən dünya üzrə minlərlə cihazın məlumatlarına çıxış əldə edib. Məlumata görə, Sammy Azdoufal adlı şəxs yeni aldığı DJI Romo cihazını PlayStation 5 pultu ilə uzaqdan idarə etmək üçün hazırladığı tətbiqi DJI-nin bulud infrastrukturuna qoşarkən sistemin yanlış konfiquriyasiyası səbəbindən 24 ölkə üzrə təxminən 7,000 aktiv robot tozsorana birbaşa giriş əldə edib.

Əldə edilən məlumatlara əsasən Azdoufal öz “homebrew” tətbiqini hazırlayarkən DJI Romo’nun DJI serverləri ilə necə ünsiyyət qurduğunu anlamaq üçün AI kod köməkçisindən (Claude Code) istifadə edərək protokolları tərsinə mühəndislik edib və öz cihazına aid autentifikasiya tokenini çıxarıb. Lakin bu token yalnız onun cihazına deyil, eyni infrastrukturda işləyən digər Romo’lara da çıxış imkanı yaradıb. Nəticədə o, müxtəlif ölkələrdəki robotların fəaliyyət statusu, telemetriya məlumatları və bəzi hallarda məxfilik baxımından həssas hesab edilən funksiyalara çıxış imkanlarını müşahidə edib.

Həmin boşluq nəticəsində istifadəçi robotların canlı kamera görüntülərinə baxa, mikrofon vasitəsilə səs dinləyə, cihazların işlədiyi məkanlar üzrə 2D planların formalaşmasını izləyə bilib. Bundan əlavə, IP ünvanları əsasında qurğuların təxmini coğrafi yerləşməsini müəyyənləşdirmək mümkün olub. Bildirilir ki, cəmi 14 rəqəmli seriya nömrəsi ilə ayrı bir cihazın təmizlədiyi otağı və batareya səviyyəsini görmək, habelə məkanın planının uzaqdan yaradılmasını müşahidə etmək mümkün olub. Eyni infrastrukturdan istifadə edən DJI Power portativ enerji stansiyalarının da sistemdə göründüyü və diaqnostika və status məlumatları ötürdüyü qeyd edilir.

Texniki baxımdan problemin əsas səbəbi backend tərəfdə icazələrin yoxlanması mexanizminin zəif qurulması və MQTT mesajlaşma infrastrukturunda topic səviyyəsində (topic-level) giriş nəzarətinin (ACL) qeyri-kafi olması ilə izah olunur. Nəticədə bir cihaz üçün əldə edilən etibarlı token digər cihazların məlumat axınına da çıxış yaratmaq üçün yetərli olub. Mütəxəssislər bu tip arxitektura xətalarının ağıllı ev (“smart home”) cihazlarında xüsusilə riskli olduğunu bildirirlər, çünki kamera və mikrofon kimi sensorlar vasitəsilə ev daxili məxfiliyə dair məlumatların sızması ehtimalı artır.

DJI məsələ ilə bağlı açıqlamasında bildirib ki, problem iki mərhələli yeniləmə ilə aradan qaldırılıb: ilkin düzəliş 8 fevral, əlavə yeniləmə isə 10 fevral tarixində tamamlanıb. DJI düzəlişlərin avtomatik tətbiq edildiyini və istifadəçilərin əlavə addım atmasına ehtiyac olmadığını qeyd edib. Lakin cihazın kamera axınına təhlükəsizlik üçün PIN tələbi olmadan baxmağa imkan verən əlavə riskin də mövcud ola biləcəyi iddia edilir. Digər bir problemin isə məxfilik və təhlükəsizlik baxımından daha ciddi qiymətləndirildiyi və detallarının açıq şəkildə paylaşılmadığı bildirilir. Şirkət həmin məsələnin də yaxın həftələrdə aradan qaldırılacağını qeyd edib.

Hadisə bir daha göstərir ki, internetə qoşulan ağıllı ev cihazları, xüsusən kamera və mikrofon kimi imkanlara malik qurğular kiber risklər baxımından yüksək həssaslıq daşıyır. Ekspertlər hesab edir ki, süni intellekt əsaslı kodlaşdırma alətlərinin geniş yayılması tərsinə mühəndisliyi daha əlçatan etdiyinə görə bu cür zəifliklərin aşkarlanması və istismar riski də paralel şəkildə arta bilər. Bu səbəbdən istehsalçılar bulud xidmətlərində icazə nəzarətini (access control) daha diqqətlə qurmalı, istifadəçilər isə cihazları mütəmadi yeniləməli və mümkün olduqda məxfilik baxımından həssas funksiyaların istifadəsini minimuma endirməlidirlər.

İstinadlar:

• https://www.techradar.com/home/robot-vacuums/a-simple-hack-gave-the-owner-of-a-brand-new-dji-romo-access-to-a-global-army-of-robovacs 
• https://www.malwarebytes.com/blog/news/2026/02/hobby-coder-accidentally-creates-vacuum-robot-army
• https://www.popsci.com/technology/robot-vacuum-army/
• https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt