DJI’nin Romomodel robot süpürgelerinde önemli bir güvenlik zafiyeti keşfedildi. Bir hobi kullanıcısının yaptığı kolay bir deneme, dünya genelinde yaklaşık 7.000 robot süpürgeye yetkisiz erişim sağlanabildiğini ortaya koydu.

Her şey Romo sahibi Sammy Azdoufal’ın aygıtını bir PS5 kontrolcüsüyle yönetmek istemesiyle başladı. Azdoufal, uzaktan denetim uygulamasını geliştirirken yapay zeka takviyeli Claude Code’dan yararlandı. Lakin geliştirilen uygulama, DJI sunucularına bağlandığında binlerce farklı Romo robot süpürgesinin de erişime açıldığı görüldü.

Kamera, mikrofon ve mesken planlarına erişim

Sorunun boyutu sadece aygıt denetimiyle sonlu değildi. Azdoufal, sistemdeki robotların canlı görüntü ve ses akışlarına erişebildiğini ayrıyeten aygıtların oluşturduğu 2 boyutlu mesken planlarını görüntüleyebildiğini belirtti. Bununla birlikte IP adreslerine de ulaşılabiliyor. Hasebiyle aygıtların bulunduğu pozisyonlar yaklaşık olarak tespit edilebiliyor.

Teknik olarak sorun, Azdoufal’ın kendi aygıtı için kullandığı güvenlik token’ının DJI sunucuları tarafından öteki aygıtlar için de geçerli kabul edilmesinden kaynaklandı. Yani tek bir doğrulama anahtarı, binlerce farklı kullanıcı aygıtına erişim için kâfi oldu. Üstelik tıpkı altyapıyı kullanan DJI Power taşınabilir güç istasyonları da sistemde görünür durumdaydı ve tanılama bilgileri ile durum bilgilerini sunuculara iletiyordu.

Sorun çözüldü lakin…

DJI, kelam konusu açığın kapatıldığını ve düzeltme çalışmalarının kamuya açıklanmadan evvel başlatıldığını bildirdi. Şirket, sorunun artık “çözüldüğünü” tabir etse de, güvenlik uzmanları bu çeşit bir açığın baştan var olmasının önemli bir zafiyet göstergesi olduğunu vurguluyor.

Daha da dikkat alımlı olan ise Romo’da kamuoyuna açıklanmayan ikinci bir güvenlik sorunu daha bulunması. Olayı birinci olarak ele alan ve DJI ile bağlantıda olan The Verge, bu açığın ayrıntılarını güvenlik gerekçesiyle paylaşmadı. DJI ise bu ikinci sorunun haftalar içinde giderileceğini açıkladı.

Bilindiği üzere ABD’de halihazırda güvenlik korkuları nedeniyle yeni DJI eserlerine yönelik kısıtlamalar bulunuyor. Data güvenliği ve potansiyel nezaret riskleri konusundaki yeni güvenlik açıklarının DJI’ın elini daha da zorlaştırması bekleniyor.