7 bin akıllı süpürgeyi PS5 koluyla kumanda etti!
İspanyol yazılımcı Sammy Azdoufal, kendi DJI Romo robot süpürgesini PlayStation 5 kumandasıyla kontrol etmek isterken Claude AI yardımıyla geliştirdiği uygulama sayesinde dünya genelinde yaklaşık 7 bin cihaza erişim sağladı. Canlı kamera görüntüleri, mikrofon sesleri, ev haritaları ve uzaktan kumanda yetkisi veren kritik açık, akıllı ev cihazlarındaki güvenlik zafiyetlerini bir kez daha gözler önüne serdi. DJI iki yama yayınladığı ancak bazı açıkların hala giderilmediği belirtiliyor.
Yapay zeka ve robot teknolojileri hızla evlerimize girerken, milyarlarca dolarlık yatırımlarla büyüyen akıllı ev ekosistemi konfor vaat ediyor. Ancak bu bağlı cihazlar aynı zamanda mahremiyet ve siber güvenlik için ciddi tehditler barındırıyor. Üreticiler “hızlı inovasyon” adına güvenlik testlerini sıklıkla arka plana atıyor; sonuçta hacker’lar için yeni kapılar açılıyor. Son olayda İspanyol bir yazılımcının tesadüfi keşfi, bu risklerin ne kadar yakın ve gerçek olduğunu bir kez daha kanıtladı.
Yapay zeka ve robot teknolojileri hızla evlerimize girerken, milyarlarca dolarlık yatırımlarla büyüyen akıllı ev ekosistemi konfor vaat ediyor. Ancak bu bağlı cihazlar aynı zamanda mahremiyet ve siber güvenlik için ciddi tehditler barındırıyor. Üreticiler “hızlı inovasyon” adına güvenlik testlerini sıklıkla arka plana atıyor; sonuçta hacker’lar için yeni kapılar açılıyor. Son olayda İspanyol bir yazılımcının tesadüfi keşfi, bu risklerin ne kadar yakın ve gerçek olduğunu bir kez daha kanıtladı.
KONSOL KUMANDASI İLE BÜYÜK BİR AÇIĞI ORTAYA ÇIKARTTI
Sammy Azdoufal, yeni aldığı DJI Romo robot süpürgesini PS5 oyun kumandasıyla manuel olarak yönlendirmek istedi. Anthropic’in Claude Code adlı yapay zeka kodlama asistanını kullanarak DJI mobil uygulamasını tersine mühendislik yapan Azdoufal, cihazın iletişim protokollerini çözdü ve kendi cihazına ait kimlik doğrulama token’ını çıkardı. Ancak token sunucuya bağlandığında şok edici bir gerçek ortaya çıktı: Yaklaşık 7 bin DJI Romo cihazı –24 farklı ülkede– Azdoufal’ı “patron” olarak tanımaya başladı.
CANLI GÖRÜNTÜ, SES VE EV HARİTALARINA ERİŞİM
Azdoufal bu yetkiyle cihazların ön kamerasından canlı yayın izleyebildi, mikrofonlarından ses alabildi, detaylı ev haritalarını indirebildi ve robotları uzaktan kumanda edebildi. IP adresleri üzerinden cihazların yaklaşık konumlarını belirleyebilen mühendis, The Verge verdiği demeçte, “Cihazım birdenbire binlerce robotun komutanı haline geldi” şeklinde açıklamada bulundu. Amacının kötü niyetli olmadığını vurgulayan Azdoufal, açığı ifşa etmek için haberi The Verge ile paylaştı.
DJI İKİ YAMA YAPTI AMA RİSKLER TAM GİDERİLMEDİ
Yayının ulaşması üzerine DJI, 8 ve 10 Şubat’ta iki yama yayınlayarak arka uç yetki doğrulama hatasını düzelttiğini açıkladı. Şirket, Azdoufal’a X üzerinden teşekkür ederek “Sorumlu bildiriminiz bizim için çok kıymetli” mesajını paylaştı. Ancak Azdoufal, kamera akışında PIN atlama gibi ek zafiyetlerin hâlâ açıkta kaldığını belirtti. Surrey Üniversitesi siber güvenlik profesörü Alan Woodward, “İnovasyon adına ‘hızlı hareket et, kır geç’ mantığı hâkim ama güvenlik genellikle sonradan düşünülüyor” uyarısında bulundu.
AKILLI EV PAZARI PATLARKEN GÜVENLİK İHMAL EDİLİYOR
MarketsandMarkets tahminlerine göre akıllı ev sektörü 2032’de 139 milyar doları aşacak. Ancak bu büyüme, aydınlatma sistemlerinden bebek monitörlerine, kapı kilitlerinden ısıtma cihazlarına kadar pek çok üründe benzer saldırılara zemin hazırlıyor. Woodward, üreticilere “Kullanıcıları ilk kurulumda güçlü, benzersiz şifre kullanmaya zorlamak ve tüm sistem etkileşimlerini güvenlik odaklı tasarlamak şart” diyor. Tüketicilere de net bir mesaj veriyor: “Her yapabildiğinizi yapmak zorunda değilsiniz konfor ile mahremiyet arasında denge kurun.”
“VACCUM GUY” EFSANESİ VE ÜCRETSİZ SÜPÜRGE TEKLİFLERİ
Azdoufal, X’te “Artık resmen ‘vaccum guy’ diyebilirsiniz. Kaç tane ücretsiz süpürge teklifi geldi hayal bile edemezsiniz” diye esprili bir paylaşım yaptı. Olay, IoT cihazı üreticilerinin güvenlik altyapılarını kökten gözden geçirmesi gerektiğini bir kez daha gösterdi.