Çinli dron üreticisi DJI tarafından üretilen robot süpürgeyi oyun kumandasıyla kontrol etmek amacıyla uygulama geliştiren yazılım mühendisi Sammy Azdoufal, süpürgenin şirket sunucularıyla nasıl iletişim kurduğunu incelerken ciddi bir yetkilendirme açığı tespit etti. Azdoufal, bağlantı sırasında sistemdeki açık nedeniyle 24 ülkede yaklaşık 7 bin cihaza istemeden erişim sağladığını fark etti.
Erişim sağlanan cihazlarda gerçek zamanlı kamera ve ses kayıtları, seri numaraları, batarya durumları, evlerin detaylı kat planları ve IP adresleri üzerinden yaklaşık konum bilgileri görüntülenebiliyordu.
Azdoufal, kendi cihazı için verilen erişim anahtarının diğer kullanıcıların verilerine de kapı açtığını, güvenlik kodunun tamamen atlanabildiğini ve eşleştirme yapılmadan kameraya ulaşılabildiğini belirledi.
Azdoufal herhangi bir sisteme izinsiz girmediğini savunurken, DJI sözcüsü olayın ardından yaptığı açıklamada robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğunu kabul etti.
Açığın ocak ayı sonunda tespit edildiği, 8 ve 10 Şubat’ta yayımlanan iki güncellemeyle giderildiği ve düzenlemenin otomatik olarak uygulandığı bildirildi. Kullanıcıların ek bir işlem yapmasına gerek olmadığı ifade edildi.
Şirket açıklamasında, söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği belirtildi. Tespit edilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı da savunuldu.
Yaşanan olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden tartışmaya açtı. Uzmanlar, yeterli güvenlik önlemleri alınmadığında bu tür cihazların ciddi gizlilik riskleri oluşturabileceğine dikkat çekiyor.
