Çinli teknoloji devi DJI’ın ürettiği robot süpürgelerde tespit edilen kritik bir güvenlik açığı, binlerce kullanıcının mahremiyetini riske attı. Bir yazılım mühendisinin kişisel projesi sırasında ortaya çıkan açık, evlerin kat planlarından canlı kamera görüntülerine kadar hassas verilere erişim imkanı tanıdı.
Yazılım mühendisi Sammy Azdoufal’ın kendi evindeki robot süpürgeyi bir oyun kumandasıyla yönetmek amacıyla geliştirdiği masumane bir hobi projesi, küresel çapta bir veri güvenliği krizini gün yüzüne çıkardı. Azdoufal, Çinli dron ve teknoloji üreticisi DJI’a ait robot süpürge için geliştirdiği uygulama sırasında, şirketin sunucularındaki ciddi bir yetkilendirme hatası nedeniyle dünya genelinde yaklaşık 7 bin cihaza yanlışlıkla erişim sağladı.
Oyun Kumandası Projesi Veri İhlalini Ortaya Çıkardı
The Verge ve çeşitli teknoloji kaynaklarından derlenen bilgilere göre olay, Azdoufal’ın yeni satın aldığı cihazı oyun kumandası ile kontrol etmek istemesiyle başladı. Kodlama sürecinde bir yapay zeka asistanından yardım alan mühendis, robotun DJI sunucularıyla kurduğu iletişimi incelemeye başladı.
Azdoufal, yaptığı testlerde şok edici bir gerçekle karşılaştı: Kendi cihazı için oluşturduğu erişim anahtarı, sadece kendi süpürgesini değil, sunucuya bağlı diğer binlerce süpürgeyi de kontrol edebiliyordu. Bu durum, 24 farklı ülkede aktif olan binlerce cihazın kontrolünün savunmasız kaldığını gösterdi.
Canlı Görüntü ve Ev Planlarına Erişim
Ortaya çıkan güvenlik açığının boyutu, sadece cihaz kontrolüyle sınırlı kalmadı. Azdoufal’ın tespitlerine göre, sistemdeki bu "arka uç yetkilendirme" hatası sayesinde şu hassas verilere ulaşılabiliyordu:
- Cihazların kameralarından alınan gerçek zamanlı görüntü ve ses kayıtları,
- Süpürgelerin temizlik sırasında çıkardığı detaylı ev kat planları,
- Cihazların batarya durumları ve seri numaraları,
- IP adresleri üzerinden kullanıcıların yaklaşık coğrafi konumları.
Daha da endişe verici olan detay ise, cihazların güvenlik kodlarının tamamen atlanabilmesiydi. Yani, eşleştirme yapılmasına gerek kalmadan, uzaktan kamera erişimi teknik olarak mümkün hale gelmişti.
DJI: "Sorun Giderildi"
Konunun gündeme gelmesinin ardından DJI cephesinden resmi bir açıklama geldi. Şirket sözcüsü, robot süpürgelerin sunucu iletişiminde MQTT tabanlı bir yetkilendirme sorunu yaşandığını kabul etti.
Şirket, güvenlik açığının Ocak ayı sonunda fark edildiğini ve 8 ile 10 Şubat tarihlerinde yayınlanan iki ayrı güncellemeyle sorunun tamamen ortadan kaldırıldığını duyurdu. DJI, yamaların otomatik olarak uygulandığını ve kullanıcıların herhangi bir ek işlem yapmasına gerek olmadığını belirtti. Ayrıca yapılan açıklamada, tespit edilen erişim vakalarının büyük bir kısmının güvenlik araştırmacılarının kendi testleri olduğu, kötü niyetli bir saldırı izine rastlanmadığı savunuldu.
Akıllı Ev Cihazlarında Mahremiyet Tartışması
Sammy Azdoufal, herhangi bir sisteme izinsiz girme amacı taşımadığını ve durumu fark ettiğinde yetkilileri uyardığını belirtse de, olay akıllı ev cihazlarının güvenilirliğini yeniden tartışmaya açtı.
Özellikle kamera ve mikrofon donanımına sahip, internete bağlı ev aletlerinin (IoT), yeterli güvenlik protokolleri olmadan piyasaya sürülmesinin yarattığı riskler, uzmanlar tarafından bir kez daha vurgulandı. Kullanıcıların evlerinin en mahrem alanlarında dolaşan bu cihazların, basit bir yazılım hatasıyla birer gözetleme aracına dönüşebilmesi, endüstri standartlarının sorgulanmasına neden oluyor.