Yazılım mühendisi Sammy Azdoufal, DJI marka robot süpürgesini video oyun kumandasıyla yönetmek için geliştirme yaparken, yaklaşık bine yakın robot süpürgenin canlı kamera görüntülerine, mikrofon seslerine, harita ve durum verilerine ulaşabildiğini fark etti.
Azdoufal, uzaktan kumanda uygulamasını geliştirirken robotun DJI’nın bulut sunucularıyla iletişimini incelemek amacıyla bir yapay zeka kodlama asistanından destek aldı. Bu süreçte, 24 farklı ülkedeki 7000 robot süpürgeye ait verilerin erişilebilir olduğunu tespit etti.
Edindiği bulguları The Verge ile paylaşan Azdoufal, sitenin de DJI ile iletişime geçerek durumu bildirmesini sağladı. DJI, Popular Science’a yaptığı açıklamada güvenlik açığının giderildiğini belirtti. Olay, siber güvenlik alanında yapılan uyarıların yeniden gündeme gelmesine neden oldu.
Verilere Nasıl Ulaşıldı?
Söz konusu robot süpürge, geçen yıl ilk kez Çin’de satışa çıkan ve şu anda farklı ülkelerde de bulunan DJI Romo modeliydi. Yaklaşık 2 bin dolardan satılan cihaz, şarj istasyonundayken küçük bir buzdolabı büyüklüğünde.
DJI Romo, çevresini algılayan ve engelleri tespit eden çeşitli sensörlerle donatıldı. Kullanıcılar robotu uygulama üzerinden planlayıp yönetebiliyor ancak cihaz esas olarak bağımsız çalışacak şekilde tasarlandı.
Robot süpürge, bulunduğu ortamdan görsel veri topluyor. Bu sensör verileri ise robotun üzerinde değil, DJI’nın sunucularında saklanıyor. Sunucular, yalnızca tek bir kullanıcıyı doğrulamak yerine birden fazla robot süpürgeye erişim izni verdi ve Azdoufal’ı tüm cihazların sahibi olarak tanıdı. Bu açık, Azdoufal’ın canlı kamera görüntülerine ulaşmasına ve mikrofonları etkinleştirmesine imkan tanıdı.
Ek Güvenlik Önlemleri Alındı
DJI, Popular Science’a yaptığı açıklamada “DJI Home uygulamasını etkileyen güvenlik açığı Ocak ayı sonunda dahili inceleme sırasında tespit edildi ve hızla çözüm sürecine başlandı. Sorun iki ayrı güncellemeyle giderildi; ilk yama 8 Şubat’ta, ikinci güncelleme ise 10 Şubat’ta tamamlandı. Düzeltmeler otomatik olarak uygulandı, kullanıcıların herhangi bir işlem yapmasına gerek kalmadı” ifadelerine yer verdi.
Şirket, ek güvenlik önlemlerini de uygulamaya devam edeceğini belirtti.
