Her şey, robot elektrikli süpürgeyi PlayStation 5 kontrol cihazıyla kontrol etmeye yönelik basit bir girişimle başladı. İspanyol programcı Sammy Azdoufal, yeni DJI Romo cihazının sadece bir cihaz değil aynı zamanda binlerce yabancı eve açılan bir kapı olduğunu keşfettiğinde, bağlantılı ev güvenliği en kritik anlarından birini yaşadı. DJI'ın bulut sunucuları onun güvenlik tokenını bir “ana anahtar” olarak tanıdı ve birkaç dakika içinde Azdoufal kendisini 24 ülkeye yayılmış 7.000 birimin potansiyel kontrolüne sahip buldu.kameralara, mikrofonlara ve ev kat planlarına sınırsız erişim elde etmek.
Sorunun kökeni, platformun arka ucundaki izinlerin, özellikle de MQTT (Message Queuing Telemetri Transport) protokolüne dayalı iletişimdeki yanlış yönetiminde yatmaktadır. IoT cihazları ve sunucular arasındaki iletişimin temel dayanağı olan bu sistem, yeterli erişim kontrollerinden yoksundu ve kimliği doğrulanmış bir kullanıcının diğer cihazların trafiğini net bir şekilde okumasına olanak tanıyordu. Mahremiyet üzerindeki sonuçlar “rahatsız edici” olarak tanımlandı: Azdoufal, uluslararası bir gazetecinin cihazının yerini bulmayı, dairesinin doğru bir haritasını çıkarmayı ve canlı videoyu etkinleştirmeyi başardıüstelik mağdura herhangi bir bildirim ya da izin talebi verilmeden.
“Cihazımın, cihazlar okyanusundan sadece bir tanesi olduğunu keşfettim“, Azdoufal, ABD'nin yetkili teknoloji gazetesi The Verge'e yaptığı açıklamada, herhangi bir agresif hackleme operasyonu gerçekleştirmediğini belirtti.: “Hiçbir kuralı ihlal etmedim. Hiçbir sistemi geçersiz kılmadım, hiçbir şeyi kırmadım veya kaba kuvvet ya da başka bir şey kullanmadım“. Sistem aynı markanın taşınabilir şarj istasyonlarından gelen teşhis verilerini de açığa çıkardığından, güvenlik açığı yalnızca elektrikli süpürgelerle sınırlı değildi. DJI, kusuru 8-10 Şubat 2026 tarihleri arasında iki güncellemeyle düzelttiğini söylese de, krizi ele alış biçimi şirketin şeffaflığıyla ilgili soruları gündeme getirdiÇünkü basına verilen resmi güvencelerin üzerinden saatler geçmesine rağmen sistem hala savunmasız durumdaydı.
Belirli bir hataya ek olarak, veri saklama sorunu hala açık. Azdoufal'ın ayrıca DJI sunucularında “düz metin” formatında depolanan diğer birçok hassas bilgiye de erişebildiği ve bu durumun onu merkezi veritabanlarına izinsiz girişlere karşı savunmasız hale getirdiği bildirildi. Bu hikaye, DJI için yoğun bir düzenleyici gerilim ortamının bir parçası: Çinli dev yakın zamanda ABD FCC'nin Kapalı Listesi'ne dahil edildi; bu, ulusal güvenlik nedenleriyle ABD'de yeni ürünlerin onaylanmasını engelleyen bir hareketti.. Şirket, 20 Şubat 2026'da bu karara yasal olarak itiraz etse de Romo modeli gibi olaylar, markanın kurumsal ortamlardaki savunma pozisyonunu zayıflatma riski taşıyor.
Soruşturma sonunda İ. DJI, hata ödül programı aracılığıyla Azdoufal'ı 30.000 $ ile ödüllendirerek raporun ciddiyetini kabul etti. Bununla birlikte, videoların zorunlu güvenlik PIN'i olmadan görüntülenmesine izin verecek bazı kalan güvenlik açıklarının çözülmesi gerekiyor; bu, şirketin birkaç hafta içinde kalıcı olarak düzeltmeyi vaat ettiği bir kusur.
Bir yanıt yazın