Programcı Sammy Azdoufal, DJI markalı robot süpürgesini PlayStation 5 kumandasıyla kontrol etmeye çalışırken ciddi bir güvenlik açığı keşfetti. Azdoufal’ın geliştirdiği uygulama, beklenmedik şekilde binlerce cihaza erişim sağladı. Chiński producent przyznał do problemu z walidacją uprawnień i wdrożył poprawki, jednak ekspert uważa, że nie wszystkie luki zostały usunięte.
PlayStation Kumandasıyla Robotu Kontrol Etmeye Çalıştı
Servis The Verge’ın haberine göre Sammy Azdoufal, DJI markalı robot süpürgesini PlayStation 5 kumandasıyla kontrol etmeye çalıştığını belirtiyor. Bu amaçla kendi uygulamasını geliştiren Azdoufal, cihazın üretici bulutuyla nasıl iletişim kurduğunu analiz etmeye başladı. Aslında herhangi bir sunucuya sızma girişiminde bulunmadığını iddia eden Azdoufal, tek amacının yeni robotunu kontrol etmek olduğunu ifade ediyor.
7 Bin Cihaz Tek Bir Ekranda
İlginç bir şekilde, Azdoufal’ın uygulaması DJI altyapısına bağlandığında sadece kendi süpürgesinden yanıt gelmedi. Birkaç dakika içinde dünyanın dört bir yanından binlerce cihaz bilgisayarına “bildirim göndermeye” başladı. The Verge’ın aktardığına göre yaklaşık 24 ülkeden 7 bin robot düzenli olarak veri gönderiyordu. Her bir robot saniyeler içinde sunucuya rapor gönderirken, Azdoufal’ın dizüstü bilgisayarı Avrupa, Amerika ve Asya’dan cihazları gerçek zamanlı olarak kataloglamaya başladı.
Süpürge Kamerasından Görüntüler ve Cihaz Bilgileri
En endişe verici olan ise başka şeylerdi. The Verge’ın aktardığına göre, Azdoufal şunları başardığını iddia ediyor:
Bunun yanı sıra, Azdoufal, 14 haneli seri numarasını bildiğinizde belirli bir cihaza erişim sağlanabileceğini, temizlediği oda ve pil seviyesi gibi bilgilerin dahil olduğu veriye ulaşılabileceğini gösterdi. The Verge, bunların yanı sıra süpürge kamerasından görüntülere de erişildiğini belirtiyor.
Üreticinin Yanıtı: DJI Açığı Kapatma Başarılı mı?
Azdoufal ve The Verge editörlüğünün konuyu bildirmesinin ardından üretici, sunucu tarafında yetkilendirme doğrulamasıyla ilgili bir sorunun yaşandığını kabul etti. DJI, şu açıklamada bulundu:
Aynı şirket, ilk düzeltmenin tüm sunucu düğümlerini kapsamadığını da kabul etti. DJI, sorunun tamamen çözüldüğünü garanti ediyor, ancak Azdoufal, tespit ettiği tüm zafiyetlerin henüz kaldırılmadığını düşünüyor.
Bir Hacker ve Binlerce Ev: Akıllı Evler Dijyal Tuzak mı?
DJI robotuyla yaşanan durum, akıllı ev cihazı sahiplerinin güvenliği ve gizliliği hakkında soruları gündeme getiriyor. Eğer bir hobi meraklısı, genel erişime açık araçlar ve ağ trafiği analizi kullanarak dünyada binlerce cihaza erişebilseydi – akıllı evlerimiz gerçekten sandığımız kadar güvenli mi? The Verge, bu soruya yanıt arıyor.
Kaynak : GazetaPrawna