एक व्यक्ति ने गलती से 7,000 रोबोट वैक्यूम्स का नियंत्रण हासिल कर लिया

 (popsci.com)
5 पॉइंट द्वारा GN⁺ 2026-02-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • एक software engineer DJI robot vacuum को game controller से चलाने की कोशिश करते हुए 7,000 devices की access permission तक पहुंच गया
  • अपना app बनाते समय AI coding assistant की मदद से cloud communication का reverse engineer करते हुए उसने एक security flaw खोजा, जिसमें वही credentials दूसरे devices पर भी लागू हो रहे थे
  • इसके कारण real-time camera video, microphone audio, map data जैसी संवेदनशील जानकारी 24 देशों के devices से उजागर हो सकती थी
  • उसने इसका दुरुपयोग नहीं किया और The Verge को सूचना दी; DJI ने कहा कि उसने तुरंत patch जारी कर समस्या का समाधान कर दिया
  • यह घटना smart home devices की security vulnerabilities और AI tools से बढ़ सकने वाले जोखिम के बारे में चेतावनी देने वाले उदाहरण के रूप में देखी जा रही है

DJI robot vacuum में मिली बड़े पैमाने की security flaw

  • engineer Sammy Azdoufal ने अपने DJI Romo robot vacuum को game controller से चलाने के लिए app बनाते समय यह समस्या खोजी
    • AI coding assistant का उपयोग करके robot और DJI cloud server के बीच communication का विश्लेषण किया
    • server सिर्फ एक device का authentication verify नहीं कर रहा था, बल्कि हजारों दूसरे devices को भी वही access permission दे रहा था
  • नतीजतन वह 7,000 से अधिक robot vacuums के camera, microphone, map और status data तक पहुंच सकता था
    • IP address के जरिए devices की लगभग location information भी देखी जा सकती थी
    • उसने इसे “hacking” नहीं बल्कि संयोग से मिली security problem बताया

DJI की प्रतिक्रिया और security patch

  • DJI ने कहा कि जनवरी के अंत में internal review के दौरान DJI Home से जुड़ी vulnerability की पुष्टि हुई और तुरंत fix process शुरू की गई
    • 8 फ़रवरी को पहला patch, 10 फ़रवरी को follow-up update अपने-आप जारी किया गया
    • users से किसी action के बिना समस्या का समाधान पूरा हो गया
  • DJI ने कहा कि वह अतिरिक्त security hardening measures जारी रखेगा, लेकिन उसका विस्तृत विवरण साझा नहीं किया
  • Azdoufal ने इस समस्या की The Verge को सूचना दी, जिससे DJI ने तेजी से प्रतिक्रिया दी

smart home device security को लेकर बढ़ती चिंता

  • यह घटना दिखाती है कि internet-connected robots और smart home devices hackers के लिए आकर्षक target बन सकते हैं
  • हाल के Ring camera ad विवाद और Google Nest video recovery cases जैसी घटनाओं से consumer privacy को लेकर चिंता बढ़ी है
  • अमेरिका में DJI जैसे चीनी tech products के security risks का हवाला देकर कुछ products पर प्रतिबंध लगाए जाने के उदाहरण भी हैं

smart home के विस्तार और privacy का विरोधाभास

  • 2020 के अनुसार अमेरिका में 5.4 करोड़ households के पास smart home devices थे
    • एक बार install करने वाले users में अतिरिक्त devices खरीदने की प्रवृत्ति देखी गई
  • Tesla, Figure, 1X जैसी कंपनियां घरेलू humanoid robots विकसित कर रही हैं, और कुछ पहले से बिक्री में हैं
    • ऐसे robots को घर के अंदर की विस्तृत जानकारी इकट्ठा करनी पड़ती है, इसलिए personal data exposure risk बढ़ जाता है

तकनीकी प्रगति और security के संतुलन की चुनौती

  • AI-आधारित coding tools development efficiency बढ़ाते हैं, लेकिन साथ ही non-experts द्वारा vulnerabilities के दुरुपयोग की संभावना भी बढ़ा सकते हैं
  • इस घटना को AI·IoT एकीकृत वातावरण में security management के महत्व की याद दिलाने वाले उदाहरण के रूप में देखा जा रहा है
  • Azdoufal आखिरकार अपने मूल लक्ष्य game controller से robot चलाने में सफल रहा, लेकिन इस प्रक्रिया में उसने smart home security की कमजोरियां भी उजागर कर दीं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-23
Hacker News की राय

  • उसे पता चला कि वह अपने डिवाइस कंट्रोल credentials के ज़रिए दुनिया के 24 देशों में लगभग 7,000 robot vacuum के camera, microphone, map और status data तक पहुँच सकता था
    पिछले साल मैंने Mysa smart thermostat में यही समस्या खोजकर सार्वजनिक की थी, जहाँ एक ही credentials से सभी डिवाइस नियंत्रित किए जा सकते थे
    इसका विवरण पिछले HN thread में है

    • ऐसे डिवाइस असल में लगभग परफेक्ट जासूसी टूल बन सकते हैं
      यह बात डरावनी लगती है कि सस्ता vacuum आपके घर के अंदर की जासूसी कर सकता है
    • smart thermostat वाली बात खास तौर पर डरावनी है
      मेरे घर का Haier mini split भी GE Home app के जरिए WiFi से जुड़ता है और GE Cloud को data भेजता है
      एक बार इस्तेमाल करने के बाद मैंने तुरंत WiFi password बदल दिया और फिर दोबारा उसे connect नहीं किया
      बाद में ESP32, sensors और IR transceiver से उसे खुद control करने की योजना है
      अगर ऐसे सिस्टम में vulnerability हो, तो हमलावर बिजली की मांग में अचानक उछाल भी पैदा कर सकते हैं
    • क्या लागत बचाने के लिए manufacturing के दौरान हर डिवाइस में unique key install नहीं की गई, यह सवाल उठता है

  • अब तो लगता है कि हम privacy छोड़ चुके हैं
    लोग यह बात सामान्य मानने लगे हैं कि घर के अंदर के camera बाहरी server से जुड़े हों
    जो थोड़े लोग इसकी परवाह करते हैं, वे बहुसंख्यक लोगों के बीच दब जाते हैं
    आख़िरकार privacy की चिंता करने वाले लोग ही नुकसान में रहते हैं

  • मैंने अपने Roomba को रोज़ शाम 5 बजे चलने के लिए सेट किया है, लेकिन कई बार वह 7 बजे अपने-आप जागकर bedroom में जाता है, 5-10 मिनट रुकता है और फिर लौट आता है
    मुझे बिल्कुल नहीं पता ऐसा क्यों होता है

    • क्या वह कम-से-कम सफाई तो कर रहा होता है?
      सुनकर तो यही लगता है कि वह सचमुच बिस्तर के पास खड़ा रहता है और फिर लौट जाता है

  • कुछ समय के लिए एक आदमी मानव इतिहास में किसी भी व्यक्ति से ज़्यादा suck करने वाला बन गया था
    (robot vacuum वाली घटना पर एक मज़ाकिया टिप्पणी)

  • मुझे बिना internet connection वाले डिवाइस पसंद हैं
    उनका बेसिक फ़ंक्शन offline में भी भरोसेमंद तरीके से चलना चाहिए, और internet सिर्फ open security protocol के ज़रिए अतिरिक्त सुविधाएँ दे तो बेहतर है
    तभी उसे खुद implement करना भी संभव होता है

  • 10 साल पहले एक startup में हमने 401k provider इस्तेमाल किया था, और login करते ही मुझे सहकर्मियों की account information दिख रही थी
    account isolation पूरी तरह टूटी हुई थी
    मैं घबरा गया था, लेकिन उनकी privacy बचाने के लिए चुपचाप बात वहीं छोड़ दी
    अब सोचता हूँ तो लगता है कि मुझे इस मुद्दे को ज़्यादा ज़ोर से उठाना चाहिए था

    • मैं भी आम तौर पर संयम बनाए रखने की कोशिश करता हूँ
      लेकिन अगर सामने वाला लापरवाही से जवाब दे, तब मुझे लगता है कि सार्वजनिक रूप से समस्या बताना सही है

  • तकनीक की प्रगति की वजह से अब Stephen Wright के उस मज़ाक जैसा हाल हो गया है
    “मैंने एक ऐसा switch on किया जिसका कोई काम नहीं था, और Germany से फोन आ गया” — यह अब internet scale पर हक़ीक़त बन चुका है

  • मूल लेख: The Verge - DJI Romo hacking vulnerability
    संबंधित HN चर्चा: लिंक

  • मैंने जानबूझकर camera या microphone के बिना वाला मॉडल खरीदा

    • मेरा Eufy दावा करता है कि वह सारा processing local में करता है
      मैंने खुद इसकी पुष्टि नहीं की, लेकिन data locality और privacy का ज़िक्र करने वाला यही एक Chinese brand था, इसलिए मैंने इसे चुना
      बेशक, मुझे पता है कि firmware update से यह कभी भी बदल सकता है
      फिर भी price-to-quality के हिसाब से मैं इससे संतुष्ट हूँ
    • मुझे लगता है कि पुराने Roomba का random movement तरीका कम आंका गया था
      दिखने में भले inefficient लगता हो, लेकिन असली cleaning performance काफ़ी ठीक थी
    • क्या ऐसे बिना camera वाले models में से किसी में auto-empty feature भी मिलता है?
    • मैं पूछना चाहूँगा कि यह सच में camera या microphone के बिना है, इसे verify करने का कोई तरीका है क्या?
    • smartphone में भी microphone होता है, तो क्या वह ठीक है?

  • जो लोग तकनीकी रूप से थोड़ा भी सक्षम हैं, उनके लिए Valetudo compatible vacuum खरीदकर उसका default software बदल देना बेहतर हो सकता है
    Valetudo आधिकारिक साइट

    • लेकिन उस साइट का “Why Not Valetudo” पेज पढ़कर मेरी राय बदल गई
      मैं तकनीकी रूप से सक्षम हूँ, लेकिन robot vacuum इस्तेमाल करने का कारण समय बचाकर ज़्यादा मूल्यवान काम करना है
      Valetudo उस मकसद के अनुकूल नहीं है
      यह शानदार project है, लेकिन हर किसी के लिए सबसे अच्छा विकल्प नहीं
    • सोचता हूँ, जो लोग तकनीक में सहज नहीं हैं, उनके लिए क्या Claude setup में मदद कर सकता है?