Azdoufal, geçen ay DJI Romo süpürgesini bir PS5 kontrolcüsüyle uzaktan yönetmenin bir yolunu bulmaya çalışırken yanlışlıkla devasa bir güvenlik açığını ortaya çıkardı. Geliştirdiği uzaktan kontrol uygulaması DJI sunucularıyla etkileşime geçince, dünya genelindeki yaklaşık 7.000 robot süpürgeye erişim sağladı.
Yazılım mühendisi olan Azdoufal, bu cihazları sadece uzaktan kontrol etmekle kalmadı; aynı zamanda canlı kamera yayınlarını izleyebildiğini, evlerin taranan haritalarına ulaştığını ve cihazların IP adreslerini kullanarak konum tespiti yapabildiğini fark etti. Bu olayı The Verge ekibine bildirmesiyle konu hızla viral hale geldi. Azdoufal, bu ağa erişmek için DJI sunucularını hacklemesine gerek kalmadığını, herhangi bir kuralı ihlal etmediğini veya bir şifre kırmadığını belirterek durumu şu sözlerle özetledi:
“Hiçbir kuralı ihlal etmedim, herhangi bir engeli aşmadım, bir şeyi kırmadım veya zorlamadım.”
DJI, Azdoufal bu keşfi kamuoyuyla paylaşmadan önce bazı güvenlik açıklarını gidermeye başladığını bildirdi. Buna rağmen şirket, bulguları için mühendise 30.000 dolar ödül ödedi.
Şirket, yakın zamanda DJI Romo güvenliğini artırmaya yönelik bir blog yazısı yayınlayarak, sorunu aslında DJI Home uygulaması içinde kendilerinin tespit ettiğini vurguladı. Ek olarak üretici, hata ödül programı üzerinden aynı açığı bildiren iki bağımsız güvenlik araştırmacısına da teşekkür etti. DJI tarafından yapılan açıklamada, sorunu çözmek için güncellemelerin yapıldığı ve kullanıcıların herhangi bir işlem yapmasına gerek kalmadığı belirtildi. Kullanıcı verilerinin kötüye kullanıldığına dair bir kanıt bulunmadığını söyleyen şirket, süreci şu ifadelerle noktaladı:
“Müşterilerimiz teknolojimize güveniyor ve biz bunu hafife almıyoruz. Kullanıcı topluluğumuza, mevcut programlarımız genelinde ürünlerimizin güvenliğini güçlendirmeye yatırım yapmaya devam edeceğimizi yinelemek istiyoruz. Güvenlik bitmeyen bir süreçtir ve bu süreçteki gelişmeleri paylaşmaya devam edeceğiz.”
Kaynak: https://cybernews.com/security/dji-robot-vacuum-backdoor/
