Çinli teknoloji şirketi DJI tarafından üretilen kameralı robot süpürgelerdeki güvenlik açığı tesadüfen ortaya çıktı. Bir yazılım mühendisi, geliştirdiği uygulamayla cihazı kumanda etmeye çalışırken dünya genelinde binlerce kullanıcının kamera görüntüleri ve cihaz bilgilerine erişilebildiğini fark etti. Şirket, açığın yayımlanan güncellemelerle giderildiğini duyururken, olay veri güvenliği ve kişisel mahremiyet tartışmalarını yeniden gündeme taşıdı.

DJI tarafından üretilen robot süpürgeyi oyun kumandasıyla kontrol etmek için uygulama geliştiren yazılım mühendisi Sammy Azdoufal, sistemdeki bir güvenlik açığı nedeniyle dünya genelinde binlerce kullanıcının cihaz verilerine erişebildiğini ortaya çıkardı.

Azdoufal, yapay zeka kodlama asistanı aracılığıyla geliştirdiği uygulama ile yeni satın aldığı robot süpürgesini kontrol etmeyi planlıyordu. Cihazın DJI sunucularıyla nasıl iletişim kurduğunu inceleyen mühendis, bağlantı sürecinde yetkilendirme açığı bulunduğunu fark etti.

24 ÜLKEDE YAKLAŞIK 7 BİN CİHAZA ERİŞİM SAĞLAMIŞ

Yapılan testler sırasında sistemdeki açık nedeniyle 24 ülkeden yaklaşık 7 bin robot süpürgeye istemeden erişim sağlanabildiği tespit edildi.

Azdoufal, bağlandığı cihazların gerçek zamanlı kamera ve ses kayıtlarına, seri numaralarına, batarya durumlarına, evlerin detaylı kat planlarına ve IP adresleri üzerinden yaklaşık konum bilgilerine ulaşılabildiğini gördü.

Mühendis, kendi cihazı için verilen erişim anahtarının diğer kullanıcıların verilerine de kapı araladığını, güvenlik kodunun tamamen atlanabildiğini ve eşleştirme yapılmadan kameraya erişilebildiğini belirtti.

ŞİRKETTEN AÇIĞIN GİDERİLDİĞİNE DAİR AÇIKLAMA

Azdoufal, herhangi bir sisteme izinsiz giriş yapmadığını savunurken, DJI sözcüsü olay sonrası yaptığı açıklamada robot süpürgelerde "Arka uç yetkilendirme doğrulama sorunu" bulunduğunu kabul etti.

Açıklamada, güvenlik açığının ocak ayı sonunda tespit edildiği, 8 ve 10 Şubat'ta yayımlanan iki güncellemeyle giderildiği belirtildi. Güncellemelerin otomatik olarak uygulandığı ve kullanıcıların ek bir işlem yapmasına gerek olmadığı ifade edildi.

GİZLİLİK TARTIŞMASI YENİDEN ALEVLENDİ

Şirket, söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediğini ve teorik olarak yetkisiz erişime yol açabileceğini kaydetti. Tespit edilen vakaların büyük bölümünün ise güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı savunuldu.

Olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden gündeme taşırken, uzmanlar bu tür cihazlarda yeterli güvenlik önlemleri alınmaması halinde ciddi gizlilik riskleri oluşabileceğine dikkat çekti.

İLGİNİZİ ÇEKEBİLİR
PARTNERBorsa İstanbul günü yatay seyirle tamamladıBorsa İstanbul günü yatay seyirle tamamladı
PARTNERNew York borsası yatay seyirle açıldıNew York borsası yatay seyirle açıldı