Çin menşeli bir robot süpürgenin oyun konsolu üzerinden kontrol edilebilmesi için uygulama geliştiren bir yazılım mühendisi, sistemde fark edilen güvenlik açığı nedeniyle istemeden ciddi bir veri ihlaline yol açtı. Açık sayesinde mühendis, dünya genelinde binlerce kullanıcının ses kayıtları, kamera görüntüleri, IP bilgileri ve yaklaşık konum verilerine erişebildi.
Yazılım mühendisi Sammy Azdoufal, yeni satın aldığı robot süpürgeyi bir yapay zeka kodlama asistanı aracılığıyla oyun konsoluyla yönetmek için uygulama geliştirdi.
Robot süpürgenin şirket sunucularıyla kurduğu iletişimi analiz eden yazılım mühendisi Azdoufal, bağlantı sürecinde yer alan bir yetkilendirme hatası nedeniyle farkında olmadan 24 ülkede yaklaşık 7 bin cihaza erişim sağlayabildi. Kendi cihazı için oluşturulan erişim anahtarının diğer kullanıcı verilerine de kapı araladığını tespit eden Azdoufal, güvenlik kodunun devre dışı bırakılabildiğini ve cihaz eşleştirmesi yapılmasa bile kameraya ulaşmanın mümkün olduğunu ortaya koydu.
YASA DIŞI GİRİŞ YAPMADIĞI İDDİA ETTİ
Araştırma sırasında herhangi bir sisteme yasa dışı giriş yapmadığını vurgulayan Azdoufal, bağlı robot süpürgeler üzerinden gerçek zamanlı kamera ve ses akışları, seri numaraları, batarya bilgileri, evlere ait detaylı kat planları ile IP adreslerinden çıkarılabilen yaklaşık konum verilerine erişilebildiğini belirledi. Olay, kamera ve mikrofon barındıran akıllı ev cihazlarında veri güvenliği ve mahremiyet tartışmalarını yeniden gündeme taşıdı. Uzmanlar, yeterli koruma önlemleri bulunmadığında bu tür cihazların kullanıcılar için önemli gizlilik riskleri doğurabileceği uyarısında bulundu.
GÜVENLİK AÇIĞI GİDERİLDİ
Yaşanan gelişmenin ardından şirket yetkilileri, robot süpürgelerde "arka uç yetkilendirme doğrulama" kaynaklı bir sorun bulunduğunu kabul etti. Yapılan açıklamada, ocak ayı sonunda belirlenen açığın 8 ve 10 Şubat tarihlerinde yayımlanan iki ayrı güncellemeyle kapatıldığı ve düzeltmenin kullanıcı müdahalesi gerektirmeden otomatik olarak devreye alındığı bildirildi. Şirket ayrıca açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediğini, teorik olarak yetkisiz erişime imkân tanıyabileceğini ancak tespit edilen vakaların büyük bölümünün güvenlik araştırmacılarının kendi cihazları üzerinde yürüttüğü testlerden kaynaklandığını savundu.