Robot süpürgeyle oynarken tek bir kodla robot ordusunun başına geçti: Yedi bin evi gözetledi

Yazılım mühendisi Sammy Azdoufal yeni robot süpürgesini bir oyun kumandasıyla yönledirmek için robot süpergesinin yazılımına birkaç ekleme yaptı. Tek isteği, süpürgeyi uzaktan kumandalı araba gibi sürmekti.

Bunun yerine Azdoufal, dünya çapında 7 bin robot süpürgeye erişim sağladı. Yazılım mühendisi binlerce ailenin evine kadar girmiş oldu. Süpürgelerin kamera, mikrofon ve hopörlör aksamlarına erişti.

Kendi uzaktan kumanda uygulamasını geliştirmek isteyen Azdoufal bir yapay zeka kodlama asistanından yardım alarak robot süpürgenin şirket sunucularıyla nasıl iletişim kurduğunu çözmeye başladı.

Bu süreçte kendi cihazına erişmek için kullandığı kimlik bilgilerinin ona dünya genelinde 24 ülkeye yayılmış yaklaşık 7 bin robot süpürgenin kontrolünü verdi.

Bu güvenlik açığı, sahiplerinin haberi bile olmadan devasa bir robot ordusunu gözetleme araçlarına dönüştürebilecek bir riski açığa çıkardı.

Söz konusu cihaz DJI tarafından geçen yıl Çin’de piyasaya sürülen ve şu an küresel pazara açılan otonom ev süpürgesi Romo olarak biliniyor.

Yaklaşık 2 bin dolar fiyat etiketiyle satılan bu robot şarj istasyonundayken küçük bir buzdolabı boyutlarına ulaşıyor.

Diğer robot süpürgeler gibi çevresini algılamak ve engelleri aşmak için çeşitli sensörlerle donatılan Romo zamanının çoğunu temizlik yaparak geçiriyor.

Cihazın işlevini yerine getirebilmesi için mutfak ile yatak odası gibi alanları birbirinden ayırt etmesi ve sürekli görsel veri toplaması gerekiyor. Bu sensör verilerinin bir kısmı ise cihazın kendisi yerine uzaktaki DJI sunucularında depolanıyor.

Azdoufal ise kendi uygulamasının DJI sunucularıyla iletişim kurması için robotun sahibi olduğunu kanıtlayan bir güvenlik anahtarı çıkarmaya çalışıyordu.

Ancak sunucular tek bir anahtarı doğrulamak yerine sanki o binlerce robotun sahibiymiş gibi geniş bir erişim izni verdi.

Bu hata sonucunda Azdoufal, binlerce evdeki canlı kamera kayıtlarına sızabildiğini ve mikrofonları aktif hale getirebildiğini belirtti. Ayrıca robotların çalıştığı evlerin iki boyutlu kat planlarını çıkarabildiğini ve IP adresleri üzerinden yaklaşık konumlarını görebildiğini aktardı.

Bu durumu bir bilgisayar korsanlığı faaliyeti olarak görmeyen mühendise göre yaşadığı olay tamamen tesadüfen karşılaşılan devasa bir güvenlik açığından ibaret.

DJI tarafından Popular Science’a yapılan açıklamada sorunun ocak ayı sonunda yapılan bir iç inceleme sırasında tespit edildiği ve hemen müdahale edildiği belirtildi.

Şirket yetkilileri durumu “DJI Home sistemini etkileyen bir güvenlik açığı tespit edildi ve hemen iyileştirme çalışmaları başlatıldı. Sorun 8 Şubat’ta yayınlanan ilk yama ve 10 Şubat’ta tamamlanan takip güncellemesi ile iki aşamada çözüldü. Düzeltme otomatik olarak uygulandı ve kullanıcıların herhangi bir işlem yapmasına gerek kalmadı” denildi.

Şirket ek güvenlik güncellemeleri yapmaya devam edeceklerini söylese de bu önlemlerin neleri kapsayacağı konusunda detay vermedi.