Akıllı ev teknolojilerinde güvenlik tartışmaları yeni bir boyut kazandı. Dünyanın önde gelen dron üreticilerinden DJI’ın yeni robot süpürge modeli Romo, devasa bir güvenlik zafiyetiyle gündemde. Bir kullanıcının robot süpürgesini kontrol etmek istemesiyle ortaya çıkan açık, dünya genelinde binlerce cihazın gizliliğini tehlikeye attı.
Oyun Merakı Dev Bir Güvenlik Skandalını Ortaya Çıkardı
Her şey yapay zeka stratejisti Sammy Azdoufal’ın yeni aldığı DJI Romo süpürgesini bir PS5 kontrolcüsü ile kontrol etmek istemesiyle başladı. Kendi geliştirdiği kontrol uygulamasını DJI sunucularına bağlayan Azdoufal, beklemediği bir durumla karşılaştı: Sunucu, sadece kendi cihazına değil; dünya genelindeki yaklaşık 7.000 farklı robota erişim yetkisi verdi.
Azdoufal, herhangi bir siber saldırı veya “hack” işlemi gerçekleştirmeden sadece kendi cihazına ait dijital anahtarı kullanarak şu verilere erişebildiğini kanıtladı:
- Cihazların canlı kamera ve mikrofon kayıtları.
- Evlerin detaylı 2D kat planları.
- Cihazların seri numaraları ve gerçek zamanlı konum bilgileri.
- Temizlik geçmişi ve batarya durumu gibi hassas veriler.
“Bir Cihaz Ararken Bir Cihaz Okyanusu Buldum”
The Verge’e konuşan Azdoufal, sisteme bağlandığında saniyeler içinde binlerce robotun “göreve hazır” şekilde karşısında belirdiğini belirtti. Sadece 9 dakika içinde 24 farklı ülkeden 6.700 DJI cihazı listelendi ve 100.000’den fazla veri paketi toplandı. Üstelik bu erişim için karmaşık şifre kırma yöntemlerine gerek kalmadı; sistemin yetkilendirme hatası nedeniyle binlerce kullanıcı verisi “şifresiz metin” (cleartext) şeklinde görülebiliyordu.
DJI’dan Gecikmeli Müdahale
Güvenlik açığının bildirilmesi üzerine DJI, sorunun bir “arka uç izin doğrulama hatası” olduğunu kabul etti. Şirket, 8 ve 10 Şubat tarihlerinde yayınladığı yamalarla açığı kapattığını duyurdu fakat testlerin yapıldığı sırada sistemin hâlâ veri sızdırdığı ortaya çıktı. DJI, açığın kötü niyetli kişilerce kullanıldığına dair bir kanıt bulunmadığını iddia etse de güvenlik uzmanları cihazlardaki mikrofon ve kameraların mahremiyet açısından büyük bir risk taşıdığı konusunda hemfikir.
Ancak Azdoufal’a göre DJI, tüm güvenlik açıklarını henüz kapatmış değil. Bunlardan biri, DJI Romo’nun canlı video akışını güvenlik PIN’i olmadan izleyebilme yetkisi. Diğeri ise daha ciddi bir açık ve DJI’a çözüm için süre tanımak amacıyla şimdilik açıklanmıyor. Şirket, 17 Şubat itibarıyla bu sorunun haftalar içinde çözüleceğini bildirdi.
Akıllı Evlerde Güvenlik Sorunu Büyüyor
Bu olay, robot süpürgelerin karıştığı ilk skandal değil. 2024 ve 2025 yıllarında Ecovacs ve Dreame gibi markaların cihazlarında da benzer açıklar bulunmuş; bazı hackerların robotlar üzerinden kullanıcılara hakaret ettiği veya gizlice fotoğraf çektiği rapor edilmişti.
DJI Romo vakası, özellikle yapay zeka destekli kodlama araçlarının (Claude Code gibi) bu tür açıkları bulmayı ne kadar kolaylaştırdığını ve şirketlerin güvenlik duvarlarını ne kadar hızlı güncellemesi gerektiğini bir kez daha gözler önüne serdi.
Kaynak: theverge.com
