Robot süpürgeyi oyun kumandasıyla kontrol etmek istedi, 7000 süpürgenin canlı kamera görüntülerine ulaştı

Sammy Azdoufal isimli yazılım mühendisi DJI robot süpürgesini video oyun kumandasıyla kontrol etme çabası bine yakın robot süpürgenin canlı kamera görüntülerine, mikrofon seslerine, haritalarına ve durum verilerine erişim sağladığını fark etti.

Azdoufal, kendi uzaktan kumanda uygulamasını geliştirirken, robotun DJI’nin uzaktaki bulut sunucularıyla nasıl iletişim kurduğunu tersine mühendislikle anlamak için bir yapay zeka kodlama asistanından yardım aldı.

Yazılım mühendisi 24 ülkedeki 7000 robot süpürgenin verilerine erişim sağladı.

Azdoufal, bulguları The Verge ile paylaştı.

Site de DJI ile iletişime geçerek açığı bildirdi.

DJI, Popular Science’a yaptığı açıklamada sorunun “çözüldüğünü” söyledi ancak yaşanan olay siber güvenlik uzmanlarının uzun süredir yaptığı uyarıları yeniden gündeme taşıdı.

VERİLERE NASIL ERİŞTİ?

Söz konusu robot süpürge, geçtiğimiz yıl ilk kez Çin’de piyasaya sürülen ve şu anda diğer ülkelere de açılan otonom bir ev süpürgesi olan DJI Romo.

Yaklaşık 2 bin dolara satılıyor ve şarj istasyonuna bağlıyken küçük bir buzdolabı boyutlarında.

DJI Romo da diğer robot süpürgeler gibi çevresini algılamasına ve engelleri tespit etmesine yardımcı olan çeşitli sensörlerle donatılmış vaziyette.

Kullanıcılar uygulama üzerinden zamanlama yapıp kontrol sağlayabilse de robot süpürge esas olarak kendi başına süpürme ve paspaslama yapacak şekilde tasarlandı.

Robot süpürgenin, çalıştığı mekandan görsel veri toplaması gerekiyor.

Sensör verileri ise cihazın kendisinde değil, DJI’nın sunucularında depolanıyor.

Sunucular yalnızca tek bir belirteci doğrulamak yerine, küçük bir robot ordusuna erişim izni verdi ve onu hepsinin sahibiymiş gibi tanıdı.

Bu hata, Azdoufal’ın gerçek zamanlı kamera görüntülerine erişebilmesine ve mikrofonları etkinleştirebilmesine imkan tanıdı.

EK GÜVENLİK UYGULAMALARI DA İŞLEME KONDU

DJI’nin Popular Science’a yaptığı açıklamada, “DJI Home’u etkileyen bir güvenlik açığı Ocak ayı sonunda şirket içi inceleme sırasında tespit edildi ve derhal giderme süreci başlatıldı. Sorun iki güncellemeyle çözüldü. İlk yama 8 Şubat’ta, takip eden güncelleme ise 10 Şubat’ta tamamlandı. Düzeltme otomatik olarak dağıtıldı ve kullanıcıların herhangi bir işlem yapması gerekmiyor” denildi.

Şirket ayrıca “ek güvenlik iyileştirmeleri uygulamaya devam edeceğini” belirtti.