Kullanıcı, Güvenlik Açığı Nedeniyle Yanlışlıkla 6.700 Robot Süpürgenin Kontrolünü Ele Geçirdi

ABD - Ekhbary Haber Ajansı

Kullanıcı, Güvenlik Açığı Nedeniyle Yanlışlıkla 6.700 Robot Süpürgenin Kontrolünü Ele Geçirdi

Akıllı ev cihazlarının potansiyel güvenlik açıklarını vurgulayan şok edici bir açıklama ile DJI'nin robot süpürge serisindeki yaygın bir güvenlik açığı ortaya çıkarıldı. Sorun, dünya çapında binlerce cihaza ait hassas kullanıcı verilerine yetkisiz erişim sağladı. Güvenlik açığı, kendi cihazını bir PlayStation kontrolcüsüyle kontrol etme üzerine deneyler yapan bir teknoloji meraklısı ve uygulama geliştiricisi tarafından istemeden gün yüzüne çıkarıldı. Kişisel bir proje olarak başlayan bu deneme, beklenmedik bir şekilde geniş bir süpürge ağına erişim sağlayarak kat planlarını ve canlı video akışlarını ifşa etti.

Olay, yapay zeka stratejisti Sammy Adoufal'ın DJI RoboVac'ının iletişim protokolünü tersine mühendislikle çözmeye karar vermesiyle başladı. Amacı, cihazı bir PlayStation kontrolcüsü kullanarak çalıştırmasına olanak tanıyacak bir uygulama geliştirmekti. Ancak sonuç, başlangıçtaki niyetlerinin çok ötesine geçti. Adoufal, sadece kendi cihazının kontrolünü ele geçirmek yerine, dünya çapında dağılmış yaklaşık 6.700 adet RoboVac cihazına erişme ve bunları kontrol etme yeteneği kazandı.

Adoufal, The Verge'e yaptığı açıklamada, herhangi bir kötü amaçlı hackleme yapmadığını belirtti. Yaptığı şey, kendi RoboVac'ı için özel kimlik doğrulama jetonunu (token) elde etmekti. "Hiçbir kuralı ihlal etmedim, hiçbir sistemi atlatmadım, şifre kırmadım, kaba kuvvet kullanmadım, hiçbir şey yapmadım," dedi. Kendi cihazı için tasarlanan bu jeton, istemeden ABD, Avrupa ve Çin'deki sunucular dahil olmak üzere dünya çapındaki canlı sunuculara erişim sağladı. Bu keşif, gizlilik açısından ciddi sonuçları olabilecek kritik bir güvenlik açığını ortaya koydu.

Neyse ki, Adoufal durumu sorumlu bir şekilde ele aldı. Açığı kötüye kullanmak yerine, sorunu derhal DJI'ye bildirdi. Şirket raporu kabul etti ve ardından güvenlik açığını kapatmak için birkaç güncelleme yayınladı. Bu güncellemeler, etkilenen müşteriler için hızlı bir çözüm sağlayarak kullanıcı eylemi gerektirmeyecek şekilde tasarlandı. Düzeltmeye rağmen Adoufal, bazı kalan güvenlik endişeleri olduğunu belirtti. Bir DJI RoboVac'ın güvenlik PIN'i olmadan video akışlarını yayınlama yeteneğini ve ciddiyeti nedeniyle açıklanmayan en az bir başka sorunu buna örnek gösterdi.

Adoufal'ın vurguladığı en kritik nokta ise, sorunun temelinde yatan nedenin yalnızca zayıf şifreleme olmadığıydı. Robot süpürgelerin sunucularına ilettiği verilerin düz metin (plain text) olarak saklandığını ortaya çıkardı. Bu, sunucuya erişim sağlayan herkesin verileri kolayca okuyup yorumlayabileceği ve bu da onu ihlallere karşı son derece savunmasız hale getireceği anlamına geliyordu. Bu bulgu, iletişim şifrelemesinin ötesinde, veri işleme ve depolama uygulamalarındaki temel bir kusura işaret ediyor.

Bu olay, akıllı süpürgelerin kullanıcı verilerini yanlış yönettiği ilk vaka değil. Geçen yıl bir mühendis, iLife A11 akıllı süpürgesinin sürekli olarak üreticiye günlük ve telemetri verileri gönderdiğini keşfetti. Ağında bu iletimleri engellemeye çalıştığında, üretici cihazı uzaktan devre dışı bırakan bir "öldürme kodu" göndererek cihazı kullanılamaz hale getirdi. Mühendis, kendi teknik uzmanlığıyla süpürgeyi yeniden çalıştırmayı ve tamamen çevrimdışı kullanmayı başardı, böylece robot süpürgelerin çalışması için her zaman buluta bağlı olmasına gerek olmadığını gösterdi.

Daha fazla tüketici kolaylık için Nesnelerin İnterneti (IoT) cihazlarını benimsedikçe, veri gizliliği ve güvenliği konusundaki endişeler artıyor. Robot süpürgeler, akıllı kameralar ve bağlı cihazlar gibi aygıtlar eşsiz bir kullanım kolaylığı sunarken, aynı zamanda potansiyel sömürü için yeni yollar yaratıyor. DJI RoboVac olayı, güvenlik açıklarının kötü niyetli olmayan kurcalamalardan bile beklenmedik bir şekilde ortaya çıkabileceğini sert bir şekilde hatırlatıyor. Sıradan bireylerin yanlışlıkla binlerce kişinin özel verilerine denk gelebilmesi durumunda, organize bir kötü niyetli saldırının potansiyel zararı katlanarak daha büyük olabilir.

Bu olay, teknoloji üreticilerinin IoT ürünlerinin tasarımı ve geliştirilmesinde güvenlik ve gizliliği önceliklendirmeleri için kritik bir ihtiyacı vurgulamaktadır. Sağlam güvenlik testleri, güvenli veri işleme uygulamaları ve güçlü şifreleme esastır. Kullanıcılar da dikkatli olmalı, cihazlarının güncel olduğundan ve ev ağlarının güvende olduğundan emin olarak bağlı teknolojilerle ilgili potansiyel riskleri azaltmalıdır.

Ekhbary Haber Ajansı