Evlerimizde sessizce dolaşan teknolojik yardımcılar, bu kez devasa bir güvenlik skandalının merkezinde yer alıyor. Yazılım mühendisi Sammy Azdoufal’ın kendi robot süpürgesi üzerinde yaptığı basit bir geliştirme denemesi, dünya genelinde binlerce evin mahremiyetini sarsan bir açığı gün yüzüne çıkardı. Çinli teknoloji devi DJI tarafından üretilen robot süpürgelerdeki devasa güvenlik açığı, bir yazılım mühendisinin kişisel projesi sırasında…
Evlerimizde sessizce dolaşan teknolojik yardımcılar, bu kez devasa bir güvenlik skandalının merkezinde yer alıyor. Yazılım mühendisi Sammy Azdoufal’ın kendi robot süpürgesi üzerinde yaptığı basit bir geliştirme denemesi, dünya genelinde binlerce evin mahremiyetini sarsan bir açığı gün yüzüne çıkardı.
Çinli teknoloji devi DJI tarafından üretilen robot süpürgelerdeki devasa güvenlik açığı, bir yazılım mühendisinin kişisel projesi sırasında tesadüfen ortaya çıktı. Kendi cihazını oyun kumandasıyla kontrol etmek isteyen mühendis, bir anda 24 farklı ülkeden 7 bin kullanıcının evine canlı bağlantı sağladı.
Yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgesini daha eğlenceli hale getirmek için yapay zeka kodlama asistanı kullanarak bir uygulama geliştirmeye karar verdi. Amacı, süpürgeyi bir oyun kumandasıyla yönlendirmekti. Ancak cihazın şirket sunucularıyla nasıl iletişim kurduğunu incelediği sırada, sistemde akılalmaz bir yetkilendirme açığı olduğunu fark etti.
Azdoufal, sunuculardan kendi cihazı için aldığı erişim anahtarının, aslında sistemdeki tüm kullanıcıların verilerine kapı açtığını tespit etti. Herhangi bir şifre kırma işlemi yapmadan veya sisteme sızmadan; sadece bu açık sayesinde 24 ülkeden 7 bin civarı süpürgeye erişim sağladı.
Erişilen veriler arasında şunlar yer alıyor:
Yaşananları bir güvenlik araştırması olarak niteleyen Azdoufal, cihazların güvenlik kodlarının hiçbir eşleştirme yapmadan bile kolayca aşılabildiğini vurguladı. Bu durum, kameralı ve mikrofonlu akıllı cihazların, yeterli önlem alınmadığında nasıl birer “ev içi casus” haline gelebileceğini bir kez daha kanıtladı.
Olayın büyümesi üzerine DJI sözcüsü bir açıklama yaparak, robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğunu kabul etti. Ocak sonunda tespit edilen ve MQTT tabanlı iletişimi etkileyen bu açığın, 8 ve 10 Şubat tarihlerinde yapılan iki ayrı güncellemeyle kapatıldığı belirtildi. Şirket, kullanıcıların herhangi bir işlem yapmasına gerek olmadığını ve güncellemenin otomatik olarak tanımlandığını duyurdu.
Bu olay, “nesnelerin interneti” (IoT) teknolojilerinde veri güvenliği tartışmalarını yeniden alevlendirdi. Uzmanlar, tüketicileri kamera ve mikrofon barındıran akıllı cihazları kullanırken dikkatli olmaları ve yazılım güncellemelerini asla ihmal etmemeleri konusunda uyarıyor.
Yorum Yap