Güvenlik uzmanı bir yazılım mühendisi, dünya çapında binlerce Romo robot süpürgesine uzaktan erişim sağlayan bir hata yakaladı. Kullandığı kimlik bilgileri sayesinde, tek bir hesaptan yaklaşık 7 bin cihazın kontrolünü elde eden mühendis, ev camları, mikrofonlar ve hopörler gibi sensörlerle donatılmış bu cihazların güvenliğini tartışmalı bir noktaya taşıdı. Bu süreçte, kullanıcılara ait cihazlara ait oturum açma anahtarlarının nasıl ele geçirildiği ve bunun sonucunda evlerin güvenlik kameralarının ve mikrofonlarının uzaktan kullanıma açıldığı ortaya çıktı. Robotlar, evlerin iki boyutlu kat planlarını çıkarıp konum bilgilerini ip adresleri üzerinden belirleyebildiildiği, güvenlik zafiyetinin evlerin yaşam alanlarını gözetim amaçlı kullanılabilir hale getirebileceği kaydedildi.
Romo adındaki bu otonom ev süpürgesi, yaklaşık 2 bin dolar değerinde piyasa fiyatına sahip olup mutfak ile yatak odası gibi alanlar arasındaki farkı algılayabilen sensörlerle donatılmıştır. Cihaz çalışırken çoğunlukla temizliğe odaklansa da, görsel verilerin bazıları DJI’in sunucularında saklanıyor. Mühendis, uygulamasının bu merkezi sunucularla iletişim kurması için bir anahtar çıkarmaya çalışırken, yetkililer binlerce cihaz sahibinin kimliğini doğrulamak yerine geniş bir yetki setine erişim sağlamış gibi davrandı. Bu durum, güvenlik açığını fark eden kişinin dahi tüm evlere ait canlı video kayıtlarını görebilmesine olanak tanıdı.
DJI yetkilileri, sorunun geçtiğimiz Ocak ayında iç bir inceleme ile tespit edildiğini ve hemen müdahale edildiğini açıkladı. Özellikle DJI Home sistemine yönelik bu açığın 8 Şubat’ta yayımlanan ilk yama ve 10 Şubat’ta yayımlanan takip güncellemesiyle iki aşamada çözüldüğünü belirttiler. Otomatik güncelleme ile kullanıcıların manuel bir işlem yapmasına gerek kalmadı. Şirket, ek güvenlik yamalarının geliştirilmeye devam edileceğini ancak kapsama dair ayrıntı vermekten kaçındı.
Bir güvenlik araştırmacısı, dünya çapında birçok Romo robot süpürgesinin uzaktan kontrol edilebilmesini sağlayan bir güvenlik açığını fark etti. Elde ettiği kimlik bilgilerinin, milyonlarca evde bulunan cihazların kontrolünü ele geçirme potansiyeli taşıdığı belirtiliyor. Mühendis, cihazların kameraları, mikrofonları ve hoparlörleri üzerinde tam denetim elde edebildiğini ve iki boyutlu ev planlarını inceleyebildiğini ifade etti. Bu gelişme, kullanıcıların haberi olmadan cihazların ev içi gözetim aracına dönüşme tehlikesini gündeme getirdi.
Romo cihazı, yıkanabilir sensörlerle çevreyi algılayıp engelleri aşabilen, akıllı bir otonom ev süpürgesidir. Cihazın işlevselliği için mutfak ve yatak odası gibi farklı alanları ayırt etmesi ve sürekli veri toplaması gerekiyor. Ancak bazı sensör verileri, bazı durumlarda üretici şirketin sunucularında saklanıyor. Bu süreçte, kullanıcıların kimlik doğrulama sürecinin beklenmedik bir şekilde geniş bir yetki alanı sağlayacak şekilde yapılandırıldığı belirlendi.
Şirket açıklaması ise, sorunun Ocak ayında iç inceleme ile tespit edildiğini ve hızlı müdahale ile düzeltildiğini belirtti. İki aşamada çözümün uygulandığına işaret eden firma, 8 Şubat’ta yayımlanan güncellemenin ardından 10 Şubat’taki takip güncellemesiyle hatayı giderdiğini söyledi. Otomatik güncelleme ile kullanıcılar için ek adım atma gerekliliği ortadan kalktı; ancak gelecekteki güvenlik önlemlerinin kapsamı konusunda detay paylaşılmadı.
News
