Bir teknoloji meraklısının kendi robot süpürgesini oyun konsolu kumandasıyla yönetme girişimi, dünya genelindeki binlerce cihazı kapsayan devasa bir güvenlik açığını gün yüzüne çıkardı. Şans eseri fark edilen bu hata, binlerce evin canlı kamera görüntülerine, mikrofon kayıtlarına ve kat planlarına erişim imkanı tanıyordu.
Yapay zeka stratejisti Sammy Azdoufal evindeki robot süpürgeyi PlayStation kumandasıyla kontrol edebilmek için cihazın yazılım protokollerini incelemeye başladı. Tersine mühendislik yöntemleriyle kendi cihazına ait erişim anahtarını (token) elde eden Azdoufal, sistemi test ettiğinde beklenmedik bir tabloyla karşılaştı. Azdoufal, herhangi bir şifre kırma veya siber saldırı yöntemi kullanmadan, sadece kendi cihazı üzerinden dünya genelindeki yaklaşık 6.700 süpürgenin tüm kontrol yetkisini eline geçirdi.
Bu açık sayesinde ABD’den Çin’e kadar binlerce hanedeki robot süpürgelerin kamerasına bağlanmak, mikrofonlarını dinlemek ve cihazları uzaktan yönetmek mümkün hale geldi. Azdoufal, 'Sisteme sızmadım ya da kuralları çiğnemedim; ancak sistem bana tüm dünyanın kapısını açtı' diyerek zafiyetin boyutuna dikkat çekti.
Güvenlik uzmanları, sızıntının temel nedeninin sunucularda saklanan verilerin şifrelenmemesi olduğunu belirtiyor.
Azdoufal’ın tespitlerine göre, hassas kullanıcı verileri 'düz metin' (plain text) formatında tutuluyordu. Bu da sunucuya erişim sağlayan herkesin, binlerce kişinin mahremiyetine hiçbir engelle karşılaşmadan ulaşabileceği anlamına geliyordu.
DJI, uyarının ardından yayınladığı güncellemeyle açığı kapatsa da uzmanlar IoT (Nesnelerin İnterneti) cihazlarının güvenliğini tartışmaya devam ediyor. Geçtiğimiz yıl da benzer bir vakada, veri göndermesi engellenen bir cihazın üretici tarafından uzaktan yönetilerek devre dışı bırakıldığı görülmüştü. Bu olaylar, evimize aldığımız 'akıllı' yardımcıların, yeterli önlem alınmadığında birer casus cihaza dönüşebileceğini bir kez daha kanıtladı.
