Teknoloji sitesi The Verge’ün haberine göre, Sammy Azdoufal adlı bir yazılım mühendisi, DJI’nin robot süpürgelerinin internete nasıl bağlandığını incelerken önemli bir güvenlik açığı fark ettiğini ileri sürdü. Akıllı robotlar sadece temizlik yapmıyor; sensörleri, kameraları ve internet bağlantıları sayesinde çevresini algılayabilen küçük bilgisayarlar gibi çalışıyor. Sektör verilerine göre dünya genelinde her yıl yaklaşık 20 milyon robot süpürge satılıyor ve milyonlarca evde aktif olarak kullanılıyor. Bu nedenle, robotların şirketin bulut sistemiyle iletişimi güvenlik açısından büyük önem taşıyor.
Robot süpürgelerin, üretici firmanın bulut sistemine MQTT adı verilen bir iletişim yöntemiyle bağlandığı biliniyor. Bu sistemde robotlar, yaklaşık her birkaç saniyede bir küçük durum mesajları göndererek görev bilgilerini paylaşıyor. Böylece kullanıcılar uygulama üzerinden robotun ne yaptığını takip edebiliyor ve uzaktan kontrol sağlayabiliyor.
Robotlar internete bağlanırken kendilerini tanıtmak için dijital bir kimlik anahtarı kullanıyor. Bu anahtarın yalnızca o robota ait verilere erişim vermesi gerekiyor. Ancak yapılan incelemede, arka plandaki yetki kontrol sisteminin doğru çalışmadığı ortaya çıktı. Bu nedenle mühendis, kendi robotuna ait erişim bilgileriyle başka cihazlardan gelen verileri de görebildiğini fark etti. Yapılan testlerde, yaklaşık 24 farklı ülkede bulunan 7 bin robot süpürgeye ait veri akışının erişilebilir olduğu görüldü.
Durum firmaya bildirildi
Şirket, robot ile sunucu arasındaki veri aktarımının TLS adı verilen şifreleme yöntemiyle korunduğunu açıkladı. Yani veriler aktarım sırasında dışarıdan okunamıyordu. Ancak sorun şifrelemede değil, kimin hangi verilere erişebileceğini belirleyen izin sisteminde ortaya çıktı. Uzmanlar bu durumu, “kapı kilitli ama anahtar kontrolü yanlış yapılmış” ifadesiyle örneklendiriyor.
Açığın kötüye kullanılmadığı, mühendisin durumu firmaya bildirmesiyle sorunun kısa sürede yayınlanan güncellemeyle giderildiği belirtildi. Uzmanlara göre robot süpürgeler gibi IoT cihazları hayatı kolaylaştırsa da, internete bağlı oldukları için güvenlik risklerine daha açık hale gelebiliyor. Ev planı çıkarabilen sensörler, uzaktan kamera erişimi ve gerçek zamanlı veri aktarımı gibi özellikler doğru korunmadığında mahremiyet tartışmalarını da beraberinde getirebiliyor.
Kaynak: TheVerge