Büyük güvenlik açığı! Robot süpürge olan binlerce evde kameralar erişime açıldı
Çin üretimi kameralı robot süpürgelerde ortaya çıkan güvenlik açığı, veri güvenliği ve mahremiyet tartışmalarını yeniden gündeme taşıdı. Olay, bir yazılım mühendisinin tesadüfen fark ettiği sistem açığı sayesinde dünya genelinde binlerce kullanıcının kamera görüntülerine ve cihaz bilgilerine erişilebildiğinin anlaşılmasıyla ortaya çıktı. Şirket ise açığın güncellemelerle kapatıldığını duyurdu.
Çinli dron üreticisi DJI tarafından üretilen robot süpürgeyi oyun kumandasıyla kontrol etmek amacıyla uygulama geliştiren yazılım mühendisi Sammy Azdoufal, süpürgenin şirket sunucularıyla nasıl iletişim kurduğunu incelerken ciddi bir yetkilendirme açığı tespit etti. Azdoufal, bağlantı sırasında sistemdeki açık nedeniyle 24 ülkede yaklaşık 7 bin cihaza istemeden erişim sağladığını fark etti.
Erişim sağlanan cihazlarda gerçek zamanlı kamera ve ses kayıtları, seri numaraları, batarya durumları, evlerin detaylı kat planları ve IP adresleri üzerinden yaklaşık konum bilgileri görüntülenebiliyordu.
Azdoufal, kendi cihazı için verilen erişim anahtarının diğer kullanıcıların verilerine de kapı açtığını, güvenlik kodunun tamamen atlanabildiğini ve eşleştirme yapılmadan kameraya ulaşılabildiğini belirledi.
Azdoufal herhangi bir sisteme izinsiz girmediğini savunurken, DJI sözcüsü olayın ardından yaptığı açıklamada robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğunu kabul etti.
Açığın ocak ayı sonunda tespit edildiği, 8 ve 10 Şubat’ta yayımlanan iki güncellemeyle giderildiği ve düzenlemenin otomatik olarak uygulandığı bildirildi. Kullanıcıların ek bir işlem yapmasına gerek olmadığı ifade edildi.
Şirket açıklamasında, söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği belirtildi. Tespit edilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı da savunuldu.
Yaşanan olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden tartışmaya açtı. Uzmanlar, yeterli güvenlik önlemleri alınmadığında bu tür cihazların ciddi gizlilik riskleri oluşturabileceğine dikkat çekiyor.