Ένας μηχανικός λογισμικού, στην προσπάθειά του να κατευθύνει τη νέα του ρομποτική σκούπα DJI με χειριστήριο βιντεοπαιχνιδιού, βρέθηκε άθελά του να αποκτά πρόσβαση σε χιλιάδες σπίτια σε όλο τον κόσμο.
Καθώς ανέπτυσσε τη δική του εφαρμογή τηλεχειρισμού, ο Sammy Azdoufal φέρεται να χρησιμοποίησε έναν βοηθό κώδικα με τεχνητή νοημοσύνη για να «αντιστρέψει» τον τρόπο με τον οποίο το ρομπότ επικοινωνούσε με τους απομακρυσμένους cloud servers της DJI.
Σύντομα όμως διαπίστωσε ότι τα ίδια διαπιστευτήρια που του επέτρεπαν να βλέπει και να ελέγχει τη δική του συσκευή, του παρείχαν επίσης πρόσβαση σε live ροές κάμερας, ήχο μικροφώνου, χάρτες και δεδομένα κατάστασης από σχεδόν 7.000 άλλες ρομποτικές σκούπες σε 24 χώρες.
Το κενό ασφαλείας στο backend εξέθετε ουσιαστικά έναν «στρατό» από συνδεδεμένα στο διαδίκτυο ρομπότ, τα οποία, σε λάθος χέρια, θα μπορούσαν να μετατραπούν σε εργαλεία παρακολούθησης — χωρίς οι ιδιοκτήτες τους να το γνωρίζουν.
I can confirm that @DJIGlobal has finally fixed the HUGE vulnerability they had on their servers.
This vulnerability was discovered by the very skillful @n0tsa , and he reported it to DJI.
It allowed to take remote control (movements, microphone, camera) of over 10 000 robots… pic.twitter.com/j1UunMmNXX
— Gonzague 👨🏼💻 (@gonzague) February 11, 2026
Ευτυχώς, ο Azdoufal επέλεξε να μην εκμεταλλευτεί την ανακάλυψή του. Αντίθετα, κοινοποίησε τα ευρήματά του στο The Verge, το οποίο επικοινώνησε άμεσα με τη DJI για να αναφέρει το πρόβλημα. Η DJI δήλωσε στο Popular Science ότι το ζήτημα «έχει επιλυθεί», ωστόσο το περιστατικό αναδεικνύει τις προειδοποιήσεις ειδικών κυβερνοασφάλειας, οι οποίοι εδώ και χρόνια επισημαίνουν ότι τα ρομπότ και γενικότερα οι «έξυπνες» οικιακές συσκευές που συνδέονται στο διαδίκτυο αποτελούν ελκυστικούς στόχους για χάκερ.
Καθώς ολοένα και περισσότερα νοικοκυριά υιοθετούν οικιακά ρομπότ – συμπεριλαμβανομένων νεότερων, πιο διαδραστικών ανθρωποειδών μοντέλων — παρόμοια κενά ασφαλείας ενδέχεται να γίνουν δυσκολότερο να εντοπιστούν. Τα εργαλεία κώδικα με τεχνητή νοημοσύνη, τα οποία διευκολύνουν ακόμη και άτομα με περιορισμένες τεχνικές γνώσεις να αξιοποιήσουν αδυναμίες λογισμικού, ενδέχεται να ενισχύσουν περαιτέρω αυτές τις ανησυχίες.
Ένα τεράστιο κενό ασφαλείας που αποκαλύφθηκε τυχαία
Το ρομπότ που βρέθηκε στο επίκεντρο είναι το DJI Romo, μια αυτόνομη οικιακή σκούπα που κυκλοφόρησε αρχικά στην Κίνα πέρυσι και επεκτείνεται σταδιακά και σε άλλες χώρες. Η τιμή του αγγίζει περίπου τα 2.000 δολάρια και, όταν είναι τοποθετημένο στη βάση του, έχει μέγεθος περίπου όσο ένας μεγάλος σκύλος ή ένα μικρό ψυγείο. Όπως και άλλες ρομποτικές σκούπες, διαθέτει πολλαπλούς αισθητήρες που του επιτρέπουν να πλοηγείται στον χώρο και να αποφεύγει εμπόδια. Οι χρήστες μπορούν να το προγραμματίζουν και να το ελέγχουν μέσω εφαρμογής, ωστόσο έχει σχεδιαστεί ώστε να καθαρίζει και να σφουγγαρίζει αυτόνομα.
Για να λειτουργήσει σωστά το Romo — όπως και κάθε σύγχρονη αυτόνομη σκούπα — πρέπει να συλλέγει διαρκώς οπτικά δεδομένα από τον χώρο στον οποίο κινείται. Παράλληλα, χρειάζεται να αναγνωρίζει τα χαρακτηριστικά που διαφοροποιούν, για παράδειγμα, μια κουζίνα από ένα υπνοδωμάτιο. Μέρος αυτών των δεδομένων αποθηκεύεται στους διακομιστές της DJI και όχι αποκλειστικά στη συσκευή. Για να λειτουργήσει η ιδέα του Azdoufal, η εφαρμογή του έπρεπε να επικοινωνεί με τους servers της εταιρείας και να αντλεί ένα «security token» που να αποδεικνύει ότι είναι ο ιδιοκτήτης του ρομπότ.
Αντί όμως να επαληθεύεται μόνο ένα token, οι διακομιστές του παρείχαν πρόσβαση σε πλήθος άλλων ρομπότ, αντιμετωπίζοντάς τον ουσιαστικά ως ιδιοκτήτη τους. Αυτό του έδινε τη δυνατότητα να βλέπει σε πραγματικό χρόνο τις κάμερές τους, να ενεργοποιεί τα μικρόφωνά τους, ακόμη και να δημιουργεί δισδιάστατες κατόψεις των σπιτιών όπου λειτουργούσαν. Από τις διευθύνσεις IP μπορούσε επίσης να προσδιορίσει κατά προσέγγιση τη γεωγραφική τους θέση. Ο ίδιος επιμένει ότι δεν επρόκειτο για «χακάρισμα», αλλά για τυχαία ανακάλυψη σοβαρής αδυναμίας ασφαλείας.
Η DJI δήλωσε στο Popular Science ότι εντόπισε το ζήτημα στα τέλη Ιανουαρίου και προχώρησε άμεσα σε διορθωτικές ενέργειες. Το πρόβλημα αντιμετωπίστηκε με δύο ενημερώσεις, στις 8 και 10 Φεβρουαρίου, οι οποίες εγκαταστάθηκαν αυτόματα χωρίς να απαιτείται ενέργεια από τους χρήστες. Η εταιρεία πρόσθεσε ότι θα συνεχίσει να ενισχύει τα μέτρα ασφαλείας της, χωρίς να δώσει περαιτέρω λεπτομέρειες.
Το τίμημα της ιδιωτικότητας στα «έξυπνα» σπίτια
Το περιστατικό με τη DJI έρχεται σε μια περίοδο αυξανόμενης ανησυχίας για τις δυνατότητες παρακολούθησης των «έξυπνων» οικιακών συσκευών. Πρόσφατα, χρήστες καμερών Ring εξέφρασαν αντιδράσεις στα κοινωνικά δίκτυα για μια διαφήμιση της εταιρείας, η οποία ερμηνεύτηκε από ορισμένους ως εργαλείο ευρύτερης επιτήρησης. Την ίδια περίοδο, αναφορές ότι η Google μπόρεσε να ανακτήσει βίντεο από κάμερα Nest Doorbell για υπόθεση απαγωγής — παρά προηγούμενες ενδείξεις ότι το υλικό είχε διαγραφεί — αναζωπύρωσαν τη συζήτηση για τον έλεγχο που έχουν οι καταναλωτές στα προσωπικά τους δεδομένα.
Παράλληλα, Αμερικανοί νομοθέτες από αμφότερα τα κόμματα έχουν εκφράσει ανησυχίες για πιθανές απειλές ασφαλείας από κινεζικούς τεχνολογικούς κολοσσούς, όπως η DJI, γεγονός που έχει οδηγήσει και σε απαγορεύσεις ορισμένων προϊόντων.
Οι ρομποτικές σκούπες και οι υπόλοιπες «έξυπνες» συσκευές έχουν ιστορικό αμφιλεγόμενων πρακτικών ασφαλείας, παρά το γεγονός ότι λειτουργούν σε εξαιρετικά ιδιωτικούς χώρους. Σύμφωνα με εκτιμήσεις της Parks Associates, το 2020 περίπου 54 εκατομμύρια νοικοκυριά στις ΗΠΑ διέθεταν τουλάχιστον μία έξυπνη οικιακή συσκευή, με την τάση να είναι αυξητική.
Ταυτόχρονα, οι συσκευές που εισέρχονται στα σπίτια γίνονται ολοένα και πιο προηγμένες. Εταιρείες όπως η Tesla και η Figure αναπτύσσουν ανθρωποειδή ρομπότ ικανά να εκτελούν οικιακές εργασίες. Η εταιρεία 1X διαθέτει ήδη τέτοιο μοντέλο στην αγορά, υποστηρίζοντας ότι μπορεί να πλένει πιάτα και να σπάει καρύδια — έστω και με ανθρώπινη υποστήριξη. Ωστόσο, για να λειτουργήσουν αποτελεσματικά, τέτοια ρομπότ θα χρειαστούν εκτενή πρόσβαση σε λεπτομέρειες της ιδιωτικής ζωής των ιδιοκτητών τους — κάτι που, στα χέρια κακόβουλων, θα μπορούσε να αποτελέσει «χρυσωρυχείο» πληροφοριών.
Όσο για τον Azdoufal, βρέθηκε μπλεγμένος σε μια υπόθεση διεθνούς εμβέλειας, ενώ απλώς ήθελε να οδηγήσει το ρομπότ του με joystick. Σε αυτό το σκέλος, τουλάχιστον, η αποστολή στέφθηκε με επιτυχία.
Πηγή: popsci.com
