Çinli sivil dron üreticisi DJI tarafından üretilen robot süpürgesini oyun kumandasıyla kontrol etmek isteyen bir yazılım mühendisi, güvenlik açığı nedeniyle dünya genelinde binlerce kullanıcının kamera görüntülerine ve cihaz bilgilerine yanlışlıkla erişim sağladı.
The Verge internet sitesinde yer alan habere göre, yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgesini oyun kumandasıyla kontrol edebilmek için yapay zeka kodlama asistanı aracılığıyla bir uygulama geliştirdi.
Güvenlik Açığı ve Şirketin Müdahalesi
Azdoufal, robotun DJI sunucularıyla nasıl iletişim kurduğunu incelerken, sistemdeki bir yetkilendirme açığı nedeniyle 24 ülkeden yaklaşık 7 bin süpürgeye istemeden erişim sağladı. Eriştiği cihazların gerçek zamanlı kamera ve ses kayıtları, seri numaraları, batarya durumları, evlerin detaylı kat planları ve IP adresleri üzerinden konum bilgilerine ulaşıldı.
DJI sözcüsü, olayın ardından yaptığı açıklamada robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğunu kabul etti. Açığın, 8 ve 10 Şubat'ta yapılan güncellemelerle giderildiği ve kullanıcıların ek bir işlem yapmasına gerek olmadığı belirtildi. Açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği kaydedildi.
Olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden gündeme getirdi. Uzmanlar, yeterli güvenlik önlemleri alınmadığında bu tür cihazların ciddi gizlilik riskleri oluşturabileceğine dikkat çekti.
