- Güvenlik araştırmacıları, DJI Romo robot süpürgelerinde cihazın uzaktan kontrol edilmesine izin veren kritik bir güvenlik açığı tespit etti.
- Bu açık, cihazın sunucularla haberleşmek için kullandığı MQTT mesajlaşma protokolündeki kimlik doğrulama eksikliğinden meydana geliyor.
- Böylelikle saldırganlar canlı kamera görüntüsüne erişebiliyor, cihazın hareketlerini yönlendirebiliyor ve hoparlör üzerinden ses iletebiliyor.
- Bu sorunu kabul eden DJI, kullanıcıların cihaz yazılımlarını acilen en son sürüme güncellemeleri gerektiğini açıkladı.
DJI Romo robot süpürgeleri ciddi bir güvenlik açığıyla gündeme geldi. Siber güvenlik uzmanları, ürünün tüm kontrol mekanizmalarını dışarıdan kontrol edebilmenin mümkün olduğunu gözler önüne seriyor.
Açıklanan detaylara göre veri trafiğini yöneten MQTT protokolünde meydana gelen yapılandırma hatası, kötü niyetli kullanıcıların herhangi bir fiziksel erişime ihtiyaç duymadan cihazın kamerasına sızmasına yol açabiliyor.
Saldırganlar cihazı tam kontrol altına alabiliyor
Sammy Azdoufal, DJI Romo robot süpürgesini yükseltmeye karar verdi. Onu PlayStation 5 kumandasıyla kontrol edip edemeyeceğini merak etti.
Bu deneyimini The Verge’e anlatan Azdoufal, DJI uygulamasını analiz etmek ve süpürgenin iletişim protokolünü incelemek için Anthropic’in Claude Code aracını nasıl kullandığını açıkladı.
Yapay zeka, protokolü çözmesine ve elektrikli süpürgeyi kontrol etmek için kendi uygulamasını oluşturmasına gerçekten de yardımcı oldu. Fakat Azdoufal, Claude’un ona beklediğinden daha fazlasını sağladığını kısa sürede keşfetti.
Uygulaması sadece kendi elektrikli süpürgesini değil, şarj istasyonları da dahil olmak üzere DJI’nin tüm elektrikli süpürgelerini kontrol edebiliyordu.
DJI cihazları, üreticinin sunucuları ve mobil uygulamasıyla MQTT protokolü üzerinden iletişim kuruyor. Şirket kullanıcı kimlik doğrulamasını uygulamış olsa da bu belirli bir cihaza bağlı değildi. DJI uygulamasından bir kimlik doğrulama belirteci alırsanız, markanın dünya çapındaki tüm cihazlarına erişebilirdiniz.
Pratikte bu durum Azdoufal’ın yapay zeka kullanılarak oluşturulan bir uygulama aracılığıyla, örneğin tamamen yabancı kişilere ait dairelerin kat planlarını ya da robot elektrikli süpürgelerden alınan kamera görüntülerini görüntüleyebileceği anlamına geliyordu.
DJI şu anda bu hatayı zaten düzeltti. Şirket, diğer kullanıcıların cihazlarına yetkisiz erişimi engelledi. Fakat PIN kodunu atlayarak elektrikli süpürgenin kamera görüntülerine erişme gibi diğer riskler devam ediyor.
