Mühendis Sammy Azdoufal, yeni robot elektrikli süpürgesini bir gamepad ile kontrol etmek istiyordu. Sonunda binlerce evin mahremiyetini açığa çıkaran küresel bir güvenlik ihlali keşfetti.
Hikaye oldukça eğlenceli bir fikirle başlıyor. Geliştirici Sammy Azdoufal, yepyeni üst düzey DJI Romo elektrikli süpürgesini PlayStation 5 kumandasını kullanarak kontrol etmek istedi. Bunu başarmak için, cihazın Çin markasının uzak sunucularıyla nasıl iletişim kurduğunu anlamak amacıyla yapay zeka Claude Code'un yardımına başvurdu. Amacı, robotunu kanepesinden kontrol edebilecek ve muhtemelen düşük pil durumunda sızlanma sesi çıkarabilecek küçük bir ev yapımı uygulama oluşturmakla sınırlıydı.
Cihazın iletişim protokolünü analiz ederek kendi dijital güvenlik belirtecini çıkarmayı başardı. Sürpriz, şirketin sunucularının diğer kullanıcıların verilerini ücretsiz erişim için geri göndermeye başlamasıyla ortaya çıktı. Yetki doğrulama sistemi tamamen hatalıydı. Bilgisayar bilimcisi ayrıca hiçbir kuralı ihlal etmediğine ve bu noktaya gelmek için herhangi bir hileli atlatma yöntemi veya kaba kuvvet kullanmadığına da yemin ediyor. Bulut, kendisini dünya çapındaki binlerce makinenin meşru yöneticisi olarak görüyordu.
Kullanıcı gizliliğine büyük bir müdahale
Rakamlar gerçekten baş döndürücü. Fransız'ın bilgisayarı dokuz dakika içinde 24 farklı ülkeye yayılmış 6.700 DJI cihazını katalogladı. Markanın aynı sunuculara bağlı taşınabilir elektrik santrallerini ekleyerek 10.000'den fazla cihaza toplam erişim elde etti.
İzinsiz girişin düzeyi özellikle mahremiyet açısından endişe vericiydi. Geliştirici, basit bir seri numarasıyla herhangi bir robotun kamerasını canlı olarak gözlemleyebilir ve yerleşik mikrofon aracılığıyla olup biten her şeyi dinleyebilir. Bu inanılmaz durumla karşı karşıya kalan Sammy Azdoufal, Amerikan basınına, basit bir elektrikli süpürgede mikrofon bulunmasını gerçekten tuhaf bulduğunu söyledi. Ayrıca haritalanan evlerin iki boyutlu planlarını kesin olarak alma yeteneğine de sahipti. Kusurun boyutu, mühendisin karısını bir önlem olarak kamerayı hemen kendi cihazında saklamaya bile itti.
Çinli üreticinin resmi savunması
Mühendis ve medyanın uyardığı DJI firması, sahte erişimi engelledi. Uzun bir resmi açıklamada şirket, Ocak ayının sonunda yapılan dahili inceleme sırasında DJI Home'u etkileyen bir güvenlik açığı tespit ettiğini ve derhal düzeltici eylemler başlattığını garanti etti. Üretici, sorunun art arda iki güncellemeyle çözüldüğünü ekliyor. İlk yama 8 Şubat'ta yayınlandı, ardından 10 Şubat'ta ek güncelleme tamamlandı. Marka, düzeltmenin otomatik olarak dağıtıldığını ve kullanıcıların herhangi bir işlem yapmasına gerek olmadığını belirtiyor.
Bunu doğrulayabilirim @DJIGlobal sonunda sunucularındaki BÜYÜK güvenlik açığını düzeltti.
Bu güvenlik açığı çok yetenekli kişiler tarafından keşfedildi @n0tsa ve bunu DJI'a bildirdi.
10.000'den fazla robotun uzaktan kontrolünün (hareketler, mikrofon, kamera) alınmasına olanak sağladı… pic.twitter.com/j1UunMmNXX
— Gonzague 👨🏼💻 (@gonzague) 11 Şubat 2026
Müşterilerine güven vermek için yönetim şunu hatırlatır: “DJI, veri koruma ve güvenlik konusunda yüksek standartları sürdürüyor ve potansiyel güvenlik açıklarını tespit edip düzeltmek için süreçler oluşturmuştur”. Şirket bunu vurguluyor “Endüstri standardı şifreleme teknolojilerine yatırım yaptı ve uzun süredir devam eden bir hata ödül programı yürütüyor”. Onaylıyor “Bağımsız araştırmacılar tarafından paylaşılan bulgu ve önerileri standart iyileştirme sonrası sürecin bir parçası olarak değerlendirdik”. DJI şunu vaat ederek bitiriyor: “Devam eden çabaların bir parçası olarak ek güvenlik iyileştirmeleri uygulamaya devam edecek”.
Hâlâ merak ediyorsanız, aslında bir DJI elektrikli süpürgeyi PlayStation 5 kumandasıyla kontrol edebilirsiniz.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Kaynak :
eşik
Bir yanıt yazın