Robot Süpürge Ayarlarıyla Oynarken 24 Ülkeden 7 Bin Kameraya İstemeden Erişti

Yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgeyi oyun kumandasıyla kontrol edebilmek için yapay zeka destekli bir uygulama geliştirdi. Ancak bu süreçte, 24 farklı ülkeden yaklaşık 7 bin robot süpürgeye yanlışlıkla erişim sağladı.

Yetkilendirme Açığı Ortaya Çıktı

Çinli drone üreticisi DJI'nın geliştirdiği robot süpürgenin, şirketin sunucularıyla iletişim kurma yöntemini inceleyen Azdoufal, bağlantı sırasında yetkilendirme sistemindeki bir zafiyet nedeniyle bu geniş erişimin gerçekleştiğini keşfetti. Kendi cihazı için aldığı erişim anahtarının, diğer kullanıcıların verilerine de ulaşım imkanı tanıdığını belirledi.

Güvenlik Kodu Atlanabiliyor

Azdoufal, cihazın güvenlik kodunun tamamen devre dışı bırakılabildiğini ve eşleştirme yapılmadan bile robot süpürgenin kamerasına erişilebildiğini ifade etti.

Detaylı Verilere Ulaşım Sağlandı

Herhangi bir sisteme izinsiz girmediğini savunan Azdoufal, eriştiği cihazlarda gerçek zamanlı kamera ve ses kayıtlarının yanı sıra seri numaraları, batarya durumları, kullanıldıkları evlerin ayrıntılı kat planları ve IP adreslerinden tahmini konum bilgilerine ulaşabildiğini açıkladı.

Olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu tekrar gündeme taşıdı. Uzmanlar, yeterli güvenlik önlemleri alınmadığı takdirde bu tür cihazların ciddi gizlilik riskleri oluşturabileceği uyarısında bulundu. Bu tür güvenlik riskleri, kişisel veri satışına yönelik operasyonlar gibi siber suçlarla mücadelede de önemli bir yer tutuyor.

DJI Güvenlik Açığını Giderdiğini Bildirdi

DJI sözcüsü tarafından yapılan açıklamada, robot süpürgelerde "arka uç yetkilendirme doğrulama sorunu" tespit edildiği kabul edildi. Ocak ayı sonunda fark edilen güvenlik açığının 8 ve 10 Şubat tarihlerinde gerçekleştirilen iki güncellemeyle giderildiği belirtildi.

Açıklamada, söz konusu düzenlemenin otomatik olarak uygulandığı ve kullanıcıların ek bir işlem yapmasına gerek olmadığı ifade edildi. Ayrıca, bu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği kaydedildi.

Sözcü, bildirilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığını savundu. Bu tür güvenlik açıkları, yapay zeka destekli sistemlerde de benzer riskler oluşturabilir; örneğin, yapay zeka ve biyolojik veri güvenliği alanında da önemli tartışmalar yaşanmaktadır.