Haber Detayı
Robot süpürge kullananlar dikkat! Özel verileriniz sızmış olabilir
Sammy Azdoufal adlı yazılım mühendisi, DJI marka robot süpürgesini oyun kumandasıyla kontrol etmek isterken sistemde kritik bir yetkilendirme açığı keşfetti. Hata yüzünden 24 ülkeden yaklaşık 7 bin cihazın kamera kayıtlarına, ev kat planlarına ve konum bilgilerine dışarıdan erişim sağlandığı ortaya çıktı.
Çinli teknoloji şirketi DJI'ın robot süpürgelerinde ortaya çıkan bir güvenlik açığı, dünya genelindeki kullanıcıların mahremiyetini tehlikeye attı.
Evlerin haritalarından kamera görüntülerine kadar pek çok özel veri tamamen bir kullanıcının eline "yanlışlıkla" geçti.
The Verge sitesinin haberine göre, robot süpürgesini oyun kumandasıyla kontrol etmek amacıyla uygulama geliştiren yazılım mühendisi Sammy Azdoufal, güvenlik açığı nedeniyle dünya genelinde binlerce kullanıcının kamera görüntülerine ve cihaz bilgilerine istemeden erişim sağladı. 24 ÜLKEDEKİ ROBOT SÜPÜRGELERE UZAKTAN ERİŞTİ Yeni satın aldığı süpürgeyi oyun kumandasıyla kontrol etmek için yapay zeka kodlama asistanı aracılığıyla bir uygulama geliştiren Azdoufal, robotun DJI sunucularıyla nasıl iletişim kurduğunu inceledi ve bağlantı sırasında sistemdeki bir yetkilendirme açığı nedeniyle 24 ülkeden 7 bin civarı süpürgenin verilerine erişti.
Azdoufal, bağlandığı cihazların gerçek zamanlı kamera ve ses kayıtlarına, seri numaralarına, batarya durumlarına, kullanıldıkları evlerin detaylı kat planlarına ve IP adresleri üzerinden yaklaşık konum bilgilerine ulaşılabildiğini gördü.
Şirketin sunucularından kendi cihazı için aldığı erişim anahtarının, diğer tüm kullanıcıların verilerine de erişim sağladığını tespit eden Azdoufal, cihazın güvenlik kodunun tamamen atlanabildiğini ve eşleştirme yapmadan bile kameraya ulaşılabildiğini belirledi.
Azdoufal, herhangi bir sisteme izinsiz girmediğini savundu.
DJI HATAYI KABUL ETTİ DJI sözcüsü tarafından olayın ardından yapılan açıklamada, robot süpürgelerde "arka uç yetkilendirme doğrulama sorunu" bulunduğu kabul edildi.
Açıklamada, ocak ayının sonunda tespit edilen güvenlik açığının 8 ve 10 Şubat'ta yapılan iki güncellemeyle giderildiği belirtilerek, düzenlemenin otomatik olarak uygulandığı ve kullanıcıların ek işlem yapmasının gerekmediği ifade edildi.
Söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği kaydedilen açıklamada, tespit edilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı savunuldu.
Olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden gündeme getirdi.
Uzmanlar, yeterli güvenlik önlemleri alınmaması halinde bu tür cihazların ciddi gizlilik riskleri oluşturabileceğine dikkati çekti.
