खिलाड़ी 6,700 DJI स्वीपिंग रोबोट्स पर नियंत्रण पाने के लिए PS5 कंट्रोलर का उपयोग करते हैं

कुछ दिन पहले, जब एक DIY उत्साही ने PS5 गेम कंट्रोलर के साथ अपने डीजेआई रोमो स्वीपिंग रोबोट को नियंत्रित करने की कोशिश की, तो उसने गलती से एक गंभीर सुरक्षा भेद्यता पैदा कर दी। परिणामस्वरूप, दुनिया भर में इस प्रकार के लगभग 6,700 रोबोट अनधिकृत पहुंच के अधीन थे, जिससे उन्हें वास्तविक समय के कैमरा फुटेज देखने, घर के 2डी फ्लोर प्लान प्राप्त करने और यहां तक कि उपकरण स्थानों का पता लगाने की अनुमति मिली।

द वर्ज द्वारा घटना का खुलासा किए जाने के बाद, डीजेआई ने आधिकारिक तौर पर प्रतिक्रिया देते हुए कहा कि उसने भेद्यता को ठीक करने का काम पूरा कर लिया है।

खिलाड़ी 6,700 डीजेआई स्वीपिंग रोबोटों पर नियंत्रण पाने के लिए PS5 नियंत्रक का उपयोग करते हैं। यह पूरी तरह से एक दुर्घटना थी

इस भेद्यता की खोज सैमी अज़दौफ़ल ने की थी। उन्होंने मीडिया को बताया कि उनका मूल उद्देश्य नए खरीदे गए डीजेआई रोमो को नियंत्रित करने के लिए PS5 नियंत्रक का उपयोग करना था, इसलिए उन्होंने रोबोट और डीजेआई सर्वर के बीच संचार प्रोटोकॉल को रिवर्स इंजीनियर करने के लिए क्लाउड कोड सॉफ़्टवेयर का उपयोग किया, और एक होममेड रिमोट कंट्रोल एप्लिकेशन बनाया।

हैरानी की बात यह है कि सर्वर से कनेक्ट होने के बाद ऐप की अनुमतियां नियंत्रण से बाहर हो गईं। उन्होंने केवल अपने डिवाइस का निजी टोकन निकाला और दुनिया भर में लगभग 7,000 रोमियो इकाइयों से प्रतिक्रिया प्राप्त की।

द वर्ज के एक रिपोर्टर ने भेद्यता प्रदर्शन को लाइव देखा। 9 मिनट के भीतर, Azdufar के कंप्यूटर ने 24 देशों में 6,700 DJI डिवाइस रिकॉर्ड किए और 100,000 से अधिक डिवाइस संदेश एकत्र किए, जिसमें डिवाइस सीरियल नंबर, साफ कमरे, देखे गए दृश्य, ड्राइविंग दूरी, चार्जिंग समय और आने वाली बाधाएं आदि शामिल थे।

थॉमस के रहने की जगह के दो मानचित्र। शीर्ष पर डीजेआई सर्वर से प्राप्त अप्रमाणित मानचित्र है; नीचे वह मानचित्र है जिसे गृहस्वामी अपने मोबाइल फ़ोन पर देखता है।

मेरे सहकर्मी थॉमस रिकर द्वारा प्रदान किए गए केवल 14-अंकीय डिवाइस सीरियल नंबर के साथ, मैं लिविंग रूम और शेष 80% बैटरी की सफाई करने वाले रोबोट की स्थिति की सटीक जांच कर सकता हूं, और अपने सहकर्मी के घर का सटीक फ्लोर प्लान भी प्राप्त कर सकता हूं।

इसके अलावा, वह वास्तविक समय फुटेज देखने के लिए अपने स्वयं के रोबोट के सुरक्षा पिन को बायपास करने में सक्षम था, और यहां तक कि एक फ्रांसीसी आईटी परामर्श कंपनी के सीटीओ गोंजाग डेम्ब्रिकोर्ट के साथ एप्लिकेशन का केवल पढ़ने योग्य संस्करण भी साझा किया, जो डिवाइस को जोड़े बिना अपने रोमियो के कैमरे के फुटेज को दूर से देख सकता था।

अज़दुफ़र ने इस बात पर ज़ोर दिया कि उन्होंने डीजेआई सर्वर पर आक्रमण नहीं किया। "मैंने किसी भी नियम का उल्लंघन नहीं किया, किसी प्रणाली में दरार नहीं डाली या बलपूर्वक हमला नहीं किया।" यह सिर्फ इतना था कि उसने अपने डिवाइस के लिए जो निजी टोकन निकाला था, जिसे उसकी डिवाइस एक्सेस अनुमतियों को सत्यापित करने की कुंजी माना जाता था, उसे डीजेआई सर्वर द्वारा सामान्य अनुमति के रूप में गलत समझा गया, इस प्रकार दुनिया भर के हजारों उपकरणों पर डेटा लीक हो गया।

उन्होंने यह भी खुलासा किया कि जब भी वह टूल बंद करेंगे तो वह सभी अर्जित डेटा को साफ़ कर देंगे और अन्य लोगों की गोपनीयता पर हमला करने के लिए खामियों का दुरुपयोग नहीं करेंगे।