Yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgesini oyun kumandasıyla kontrol edebilmek amacıyla yapay zekâ destekli bir kodlama aracı kullanarak özel bir uygulama geliştirdi. Bu süreçte cihazın şirket sunucularıyla nasıl iletişim kurduğunu analiz eden Azdoufal, sistemde kritik bir yetkilendirme hatası bulunduğunu fark etti.
İddiaya göre, kendi cihazı için alınan erişim anahtarı, başka kullanıcıların cihazlarına ait verilere de ulaşılmasına imkân tanıyordu. Bu da cihazın güvenlik doğrulama mekanizmasının atlanabildiğini ve eşleştirme işlemi yapılmadan kamera erişimi sağlanabildiğini gün yüzüne çıkardı.
24 ÜLKEDE YAKLAŞIK 7 BİN CİHAZA ERİŞİM
Tespit edilen açık nedeniyle 24 farklı ülkede kullanılan yaklaşık 7 bin robot süpürgeye erişim sağlanabildiği belirtildi. Erişim kapsamında cihazların gerçek zamanlı kamera görüntüleri ve ses kayıtları, seri numaraları, batarya seviyeleri, evlerin detaylı kat planları ve IP adresleri üzerinden yaklaşık konum bilgileri görüntülenebiliyordu.
Azdoufal, herhangi bir sisteme bilinçli şekilde izinsiz giriş yapmadığını ve durumu fark eder etmez şirketi bilgilendirdiğini savundu.
MAHREMİYET TARTIŞMALARI ARTTI
Kameralı ve mikrofonlu robot süpürgeler, kullanıcılara uzaktan izleme ve haritalama gibi pratik avantajlar sunuyor. Ancak bu özellikler, yeterli güvenlik önlemleri alınmadığında ciddi mahremiyet ihlallerine neden olabiliyor.
Siber güvenlik uzmanları, özellikle bulut tabanlı sistemlerde yetkilendirme kontrollerinin güçlü biçimde uygulanmasının kritik önem taşıdığını vurguluyor. Uzmanlara göre, tek bir erişim anahtarıyla farklı kullanıcı verilerine ulaşılabilmesi, sistem mimarisinde temel bir güvenlik zafiyetine işaret ediyor.
ŞİRKETTEN AÇIKLAMA: GÜNCELLEMELER YAYINLANDI
Olayın kamuoyuna yansımasının ardından DJI tarafından yapılan açıklamada, robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğu kabul edildi. Şirket, açığın ocak ayının sonunda tespit edildiğini ve 8 ile 10 Şubat tarihlerinde yayımlanan iki ayrı güncellemeyle giderildiğini duyurdu.
Açıklamada, söz konusu düzenlemenin otomatik olarak cihazlara uygulandığı ve kullanıcıların ek bir işlem yapmasına gerek olmadığı dile getirildi. Ayrıca güvenlik açığının MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime neden olabileceği belirtildi. Şirket yetkilileri, tespit edilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde gerçekleştirdiği testlerden kaynaklandığını savundu.
