“`html
DJI Romo, akıllı ev ürünleri pazarında önemli bir yankı uyandırdı. Bir güvenlik araştırmacısı, yalnızca kendi cihazını uzaktan kontrol etme amacıyla girişimde bulunduğunda, binlerce farklı Romo robotuna erişim sağladığını keşfetti. Bu erişim, herhangi bir sunucu sızıntısı olmaksızın gerçekleştirildi.
Araştırmacı, yeni aldığı Romo’yu basit bir uygulama aracılığıyla bir PlayStation 5 koluyla yönetmeyi başardı. Ancak uygulama, DJI’nın MQTT tabanlı sunucuları ile iletişim kurduğunda, yalnızca tek bir cihaz ile sınırlı kalmayarak dünya genelinde yaklaşık 7 bin robottan yanıt aldığını fark etti. Bu durum, cihazların seri numaraları, temizlik yaptıkları odalar, batarya seviyeleri ve gönderilen veri paketleri gibi bilgilere erişim sağladı.
Dahası, her üç saniyede bir iletilen MQTT mesajları; robotun hangi odada bulunduğunu, ne kadar mesafe kat ettiğini ve şarj ünitesine ne zaman geri döndüğünü bildiriyordu. Dokuz dakika zarfında, 24 farklı ülkeden 6 bin 700’den fazla cihaz sisteme entegre oldu ve 100 binden fazla veri paketi toplandı. Ayrıca, DJI’nın Power taşınabilir güç istasyonları da aynı altyapıyı kullandığı için erişim toplamda 10 bin cihazı geçti.
Araştırmacı, sadece cihaz listesini görmekle kalmayıp, belirli bir seri numarasına sahip bir Romo’yu da anlık olarak görüntüledi. Örneğin, 14 haneli seri numarası girildiğinde, cihazın oturma odasını temizlediği ve %80 batarya seviyesinde olduğu doğrulandı. Ayrıca, robotun oluşturduğu iki boyutlu ev planı, uzaktaki bir dizüstü bilgisayara aktarıldı.
Araştırmacı DJI sunucularındaki yetkilendirme açığını ortaya çıkardı
Canlı demo sırasında bazı cihazların kamera akışına erişim sağlandı. Araştırmacı, kendi Romo’sunun güvenlik PIN’ini devre dışı bırakarak görüntü akışını uzaktan izledi. Fransa’daki bir bilişim yöneticisi ise uygulamanın sadece okunabilen sürümüyle kendi cihazının kamera akışını görüntüleme gerçekleştirdi.
DJI, ilk başta sorunun çözüldüğünü açıkladı. Ancak daha sonra arka planda bir izin doğrulama eksikliği bulunduğunu kabul etti ve 8 ile 10 Şubat arasında iki ayrı güncelleme yayınladığını bildirdi. Güncellemeler, otomatik olarak dağıtıldı ve kullanıcıların ek işlem yapmasına gerek kalmadı.
Şirket, cihaz ile sunucu arasındaki iletişimin TLS ile şifrelendiğini ve verilerin açık metin olarak iletilmediğini vurguladı. Bununla birlikte, araştırmacı, MQTT üzerinden konu bazlı erişim kontrolleri bulunmadan yetkili bir istemcinin tüm mesajlara abone olabildiğini belirtti. İletim hattının şifreli olması, uygulama katmanındaki verileri diğer yetkili istemcilerden gizlemiyor.
DJI, Avrupa’daki Romo verilerinin ABD merkezli AWS altyapısında saklandığını bildirdi. Ayrıca, şirket uzun süredir bir hata ödül programı yürüttüğünü ve bulguları bu kapsamda değerlendirdiğini duyurdu. İlk yamanın tüm servis düzeylerine uygulanmadığı ve ikinci güncellemeyle kalan bölümlerin yeniden başlatıldığı belirtildi.
Araştırmacı ise, hala düzeltilmemiş iki ayrı zafiyetin bulunduğunu belirtti. Bunlardan biri, cihaz sahibinin kendi kameraya PIN girmeden erişim sağlayabilmesi ile ilgili. Diğer ayrıntılar henüz kamuoyuna açıklanmadı.
Akıllı ev cihazlarının bulut üzerinden çalışması yeni değil fakat kamera ve mikrofon içeren sistemlerdeki erişim kontrolleri doğrudan mahremiyetle ilişkilidir. 2024 yılında Ecovacs robot süpürgelerin ele geçirilmesi ve 2025’te Güney Kore’de bazı modellerde canlı kamera akışlarının raporlanması, benzer riskleri gündeme taşımıştı.
Bu olay, DJI Romo güvenlik açığı olarak sınırlı kalmayıp, akıllı ev ekosistemindeki bulut tabanlı iletişimi yeniden gözden geçirmeye sevk etti.
Teknoblog, teknoloji dünyasındaki gelişmeleri farklı platformlarda düzenli olarak paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikler sunuyor, Instagram ve X hesaplarında dikkat çeken başlıkları özetliyor, YouTube kanalında ise ürün incelemeleri ve detaylı anlatımlarla içeriği tamamlıyor.
“`
