DJI Romo robot tozalagichida yuzaga kelgan kiberxavfsizlik bo‘shlig‘i: minglab qurilmalar nazorat ostida

Yaqinda bir xavfsizlik tadqiqotchisi DJI kompaniyasining Romo robot tozalagichida jiddiy xavfsizlik muammosi mavjudligini aniqladi. U o‘zining shaxsiy qurilmasini PS5 o‘yin qo‘lg‘ochidan boshqarish niyatida bo‘lgan, ammo yaratgan dasturi butun dunyodagi taxminan 7 000 ta Romo qurilmasiga kirish imkonini berdi.

Vaziyat qanday yuzaga keldi?

Tadqiqotchi o‘zining maxsus ilovasi orqali DJI serverlariga so‘rov yubordi. Serverlar esa har bir robot tozalagichdan har 3 soniyada MQTT protokoli orqali ma’lumot paketlarini qabul qilardi. Bu paketlarda qurilmaning seriya raqami, hozirgi vazifasi, batareya darajasi, harakat yo‘nalishi va hatto kamera tasvirlari ham bo‘lishi mumkin edi.

Natijada, bir necha daqiqada u 24 ta mamlakatda joylashgan 6 700 ga yaqin Romo qurilmasini ro‘yxatga oldi va 100 000 dan ortiq xabarni yig‘di. Shuningdek, DJI Power portativ batareya stansiyalari ham shu serverlarga ulanib, umumiy qurilma sonini 10 000 ga yetkazdi.

Texnik tafsilotlar: MQTT va tokenlar

• MQTT – IoT (Internet of Things) qurilmalarining server bilan tezkor aloqasini ta’minlaydigan yengil protokol.
• Token – foydalanuvchining qurilmasiga kirish huquqini tasdiqlovchi maxfiy kalit.

Tadqiqotchi o‘z Romo qurilmasidan tokenni ajratib oldi. Bu token DJI serverlariga “bu foydalanuvchi o‘z qurilmasiga kirish huquqiga ega” deb xabar berardi. Ammo serverlar tokenni tekshirishdan so‘ng boshqa qurilmalar ma’lumotlarini ham taqdim etdi.

Nima uchun bu muammo muhim?

Robot tozalagichlar ichida kamera va mikrofon bo‘lishi foydalanuvchilarga uy ichidagi holatni kuzatish imkonini beradi. Agar bunday qurilmalarga ruxsatsiz kirish amalga oshsa, maxfiy ma’lumotlar – masalan, uy ichidagi joylashuv, harakatlar, hatto suhbatlar – o‘g‘irlanishi mumkin.

DJI kompaniyasi bu muammoni birinchi marta 8‑fevralda kichik bir yamoq bilan yopgan, lekin keyingi tekshiruvlar natijasida yamoqning barcha server tugunlariga yetib bormaganligi aniqlandi. Ikkinchi yamoq 10‑fevralda qo‘llanilib, barcha tugunlar yangilandi.

Qo‘shimcha xavfsizlik choralariga ehtiyoj

Ushbu hodisa IoT qurilmalarining xavfsizligi bo‘yicha bir necha muhim saboqni ko‘rsatadi:

• Har bir qurilma alohida autentifikatsiya va ruxsat darajasiga ega bo‘lishi kerak.
• Server tomonida mavzu darajasida (topic-level) kirish nazorati (ACL) o‘rnatilishi lozim.
• Ma’lumotlar shifrlangan bo‘lsa ham, server ichidagi ruxsatli foydalanuvchilar tomonidan o‘qilishi mumkin, shuning uchun ichki nazorat ham kuchli bo‘lishi zarur.

Shuningdek, foydalanuvchilar o‘z qurilmalarining firmware yangilanishlarini muntazam tekshirishlari va rasmiy dasturiy ta’minotdan foydalanishlari tavsiya etiladi.

DJI ning kelgusi rejasi

DJI kompaniyasi o‘zining “bug bounty” (xatoliklar uchun mukofot) dasturini davom ettiradi va qo‘shimcha xavfsizlik yaxshilanishlarini rejalashtirganini e’lon qildi. Biroq, tadqiqotchilar aytishicha, hali ham ba’zi zaifliklar, masalan, kamera PIN kodini atlatish imkoniyati, to‘liq bartaraf etilmagan.

Bu holat foydalanuvchilarga IoT qurilmalarini sotib olishda xavfsizlikni birinchi o‘ringa qo‘yish, ishlab chiqaruvchilardan esa shaffoflik va tezkor javob berishni talab qilish zarurligini eslatadi.