Robot süpürge ayarı yaparken 24 ülkeden 7 bin kameraya erişim sağladı
Çinli sivil insansız hava aracı üreticisi DJI tarafından üretilen robot süpürgeyi oyun konsoluyla kontrol etmek için uygulama geliştiren bir yazılım mühendisi, sistemdeki güvenlik açığı nedeniyle dünya çapında binlerce kullanıcının ses ve kamera görüntülerine, IP adreslerine ve yaklaşık konum bilgilerine yanlışlıkla erişim sağladı.
Yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgeyi bir yapay zeka kodlama asistanı aracılığıyla oyun konsoluyla yönetmek için uygulama geliştirdi.
Yanlışlıkla 24 ülkeden yaklaşık 7 bin süpürgeye erişti
DJI üretimi robotun şirketin sunucularıyla nasıl iletişim kurduğunu inceleyen Azdoufal, bağlantı sırasında sistemdeki bir yetkilendirme açığı nedeniyle 24 ülkeden yaklaşık 7 bin süpürgeye istem dışı erişim sağladı.
Kendi cihazı için şirketin sunucularından aldığı erişim anahtarının diğer tüm kullanıcıların verilerine de erişim sunduğunu fark eden Azdoufal, cihazın güvenlik kodunun tamamen baypas edilebildiğini ve eşleşme olmasa dahi kameraya ulaşılabildiğini belirledi.
Kamera ve ses kayıtları ile konum bilgileri açığa çıktı
Hiçbir sisteme yasa dışı giriş yapmadığını savunan Azdoufal, bağlı cihazlar üzerinden gerçek zamanlı kamera ve ses kayıtlarına, seri numaralarına, batarya durumlarına, kullanılan evlerin detaylı kat planlarına ve IP adresleri üzerinden yaklaşık konum bilgilerine erişebildiğini gördü.
Yaşanan olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden gündeme taşıdı. Uzmanlar, yeterli güvenlik önlemleri alınmadığı takdirde bu tür cihazların ciddi mahremiyet riskleri oluşturabileceğine işaret etti.
Şirket güvenlik açığının giderildiğini açıkladı
Olayın ardından DJI sözcüsü tarafından yapılan açıklamada, robot süpürgelerde bir "arka uç yetkilendirme doğrulama sorunu" olduğu kabul edildi.
Açıklamada, ocak ayı sonunda tespit edilen güvenlik açığının 8 ve 10 Şubat tarihlerinde yapılan iki güncellemeyle giderildiği ve düzenlemenin kullanıcıların ek bir işlem yapmasına gerek kalmadan otomatik olarak uygulandığı kaydedildi.
Duyuruda, söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği ifade edilirken, tespit edilen vakaların çoğunun güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı savunuldu.
