Yakın zamanda DJI’ın yeni ürünlerini tanıttığı basın lansmana davetliydim. Lansmanda bu görmüş olduğunuz 130 bin liralık şeffaf tasarımlı robot süpürge de tanıtılmıştı.
Bir geliştirici, işte bu süpürgeyi Claude Code ile reverse engineering yani tersine mühendislik yaparak büyük bir güvenlik açığını keşfetti: Şirketin bulut sistemi, bağlanmayı bilen herkesin dünyanın dört bir yanındaki binlerce RoboVac'ın görüntülemesine ve kontrol edilmesine olanak tanıyordu.
Şimdi süreç nasıl ilerlemiş bakalım. Bahsettiğim bu geliştirici Sammy, sadece eğlence olsun diye bu süpürgeyi elindeki PS5 kontrolcü ile uzaktan kontrol etmek istiyor. Kendi cihazına erişmek için Claude Code yardımıyla bir token yani dijital anahtar kullanıyor. Yaptığı yöntem ile DJI’ın sunucusuna bağlandığında kendi süpürgesinden cevap almayı beklerken dünyanın dört bir yanındaki 7,000 elektrikli süpürgeden aynı anda cevap alıyor. Evet, doğru duydunuz. Böylelikle:
Bir geliştirici, işte bu süpürgeyi Claude Code ile reverse engineering yani tersine mühendislik yaparak büyük bir güvenlik açığını keşfetti: Şirketin bulut sistemi, bağlanmayı bilen herkesin dünyanın dört bir yanındaki binlerce RoboVac'ın görüntülemesine ve kontrol edilmesine olanak tanıyordu.
Şimdi süreç nasıl ilerlemiş bakalım. Bahsettiğim bu geliştirici Sammy, sadece eğlence olsun diye bu süpürgeyi elindeki PS5 kontrolcü ile uzaktan kontrol etmek istiyor. Kendi cihazına erişmek için Claude Code yardımıyla bir token yani dijital anahtar kullanıyor. Yaptığı yöntem ile DJI’ın sunucusuna bağlandığında kendi süpürgesinden cevap almayı beklerken dünyanın dört bir yanındaki 7,000 elektrikli süpürgeden aynı anda cevap alıyor. Evet, doğru duydunuz. Böylelikle:
- Sammy, sadece kendi cihazına yaptığı reverse engineering yöntemiyle, dünya genelindeki yaklaşık 7.000 robot süpürgeye ve DJI'ın taşınabilir güç istasyonlarına (toplamda 10.000+ cihaz) erişim sağladı.
- Bu açık sayesinde Sammy; yabancıların evlerindeki kameraları canlı izleyebildi, mikrofonları dinleyebildi, robotları uzaktan kontrol edebildi ve evlerin detaylı 2D kat planlarına ulaştı.
- Sadece 14 haneli bir seri numarasıyla, Sammy saniyeler içinde iş arkadaşının evindeki robotu buldu ve hangi odada temizlik yaptığını, batarya durumunu ve evin haritasını anlık olarak görüntüledi.
- DJI, verilerin şifreli (TLS) olduğunu iddia etse de Sammy, sunucuya bir kez "yetkili kullanıcı" olarak girildiğinde tüm verilerin cleartext yani düz metin olarak okunabildiğini kanıtladı.
- DJI, ilk başta açığın zaten farkında olduklarını ve yamaladıklarını iddia etse de, Sammy bu açıklamadan yarım saat sonra bile binlerce robota erişebildiğini göstererek bu iddiayı çürüttü. Şirket daha sonra bir “backend hatası" olduğunu kabul ederek ikinci bir güncelleme ile açığı kapattı.
- Sammy, “güvenlik PIN kodunu atlayarak kamera izleme” gibi bazı açıkların hala tam olarak kapatılmadığını söylüyor.
- Bu veriler ABD merkezli sunucularda tutulsa bile, sunucuya erişimi olan herhangi bir DJI çalışanı veya bir hacker bu verilere kolayca ulaşılabilir.
- “Bir robot süpürgede neden mikrofon var?" sorusu, gizlilik savunucuları tarafından yüksek sesle dile getirilmeye başlandı.
- Bu olay, akıllı ev cihazlarının mahremiyetimizi ne kadar savunmasız bırakabileceğini bir kez daha bize gösteriyor.
