Çinli teknoloji şirketi DJI tarafından üretilen robot süpürgelerde tespit edilen güvenlik açığı, dünya genelinde binlerce kullanıcının cihaz verilerinin açığa çıkmasına neden oldu. Bir yazılım mühendisinin geliştirdiği uygulama sırasında ortaya çıkan durum, veri güvenliği ve mahremiyet tartışmalarını yeniden gündeme taşıdı.
24 ÜLKEDE 7 BİN CİHAZA ERİŞTİ
Sammy Azdoufal, satın aldığı robot süpürgeyi oyun kumandasıyla kontrol etmek amacıyla yapay zeka destekli bir uygulama geliştirdi. Cihazın şirket sunucularıyla kurduğu bağlantıyı inceleyen Azdoufal, sistemdeki yetkilendirme açığı nedeniyle 24 ülkede yaklaşık 7 bin cihaza istemeden erişim sağladı.
KAMERA VE SES KAYITLARI AÇIĞA ÇIKTI
Azdoufal’ın erişim sağladığı cihazlar üzerinden gerçek zamanlı kamera görüntüleri ve ses kayıtlarının yanı sıra seri numaraları, batarya bilgileri ve cihazların kullanıldığı alanlara ilişkin kat planlarına ulaşılabildiği belirlendi. Ayrıca IP adresleri üzerinden kullanıcıların yaklaşık konum bilgilerine erişilebildiği ifade edildi.
GÜVENLİK KODU ATLANABİLDİ
Yapılan incelemelerde, kullanıcılara ait erişim anahtarlarının diğer cihazlara da erişim imkanı sunduğu tespit edildi. Bu durumun, cihazlar arasında eşleşme yapılmadan kameraya erişilebilmesine olanak sağladığı aktarıldı. Azdoufal ise herhangi bir sisteme izinsiz giriş yapmadığını belirtti.
ŞİRKETTEN AÇIKLAMA GELDİ
Olayın ardından DJI sözcüsü tarafından yapılan açıklamada, robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu” bulunduğu kabul edildi. Açıklamada, güvenlik açığının ocak ayı sonunda tespit edildiği ve 8 ile 10 Şubat tarihlerinde yayımlanan güncellemelerle giderildiği bildirildi.
Şirket, söz konusu güncellemelerin otomatik olarak cihazlara yüklendiğini ve kullanıcıların ek bir işlem yapmasına gerek olmadığını açıkladı.
