Yazılım mühendisi Sammy Azdoufal, yeni aldığı robot süpürgeyi bir yapay zeka kodlama asistanı kullanarak oyun konsolu üzerinden kontrol edebilmek amacıyla bir uygulama tasarladı.
Yanlışlıkla 24 ülkeden yaklaşık 7 bin süpürgeye erişti
Robotun firmanın sunucularıyla kurduğu iletişimi analiz eden Azdoufal, bağlantı sürecinde bulunan bir yetkilendirme zafiyeti nedeniyle 24 ülkedeki yaklaşık 7 bin cihaza istemeden erişebildi. Kendi cihazı için şirket sunucularından temin ettiği erişim anahtarının diğer kullanıcı verilerine de kapı araladığını tespit eden Azdoufal, güvenlik kodunun tamamen devre dışı bırakılabildiğini ve cihaz eşleştirmesi yapılmadan da kameraya ulaşmanın mümkün olduğunu ortaya koydu.
Kamera ve ses kayıtları ile konum bilgileri açığa çıktı
Herhangi bir sisteme yasa dışı şekilde sızmadığını öne süren Sammy Azdoufal, bağlı cihazlar aracılığıyla gerçek zamanlı kamera görüntülerine ve ses kayıtlarına; ayrıca seri numaraları, batarya seviyeleri, evlerin ayrıntılı kat planları ile IP adreslerinden elde edilen yaklaşık konum verilerine erişebildiğini fark etti. Yaşanan olay, kameralı ve mikrofonlu robot süpürgelerde veri güvenliği ve kişisel mahremiyet konusunu yeniden gündeme taşıdı. Uzmanlar, yeterli güvenlik önlemleri alınmadığı takdirde bu tür cihazların ciddi mahremiyet riskleri oluşturabileceğine işaret etti.
Şirket güvenlik açığının giderildiğini açıkladı
Olayın ardından şirketin sözcüsü tarafından yapılan açıklamada, robot süpürgelerde bir "arka uç yetkilendirme doğrulama sorunu" olduğu kabul edildi. Açıklamada, ocak ayı sonunda tespit edilen güvenlik açığının 8 ve 10 Şubat tarihlerinde yapılan iki güncellemeyle giderildiği ve düzenlemenin kullanıcıların ek bir işlem yapmasına gerek kalmadan otomatik olarak uygulandığı kaydedildi. Duyuruda, söz konusu açığın MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği ifade edilirken, tespit edilen vakaların çoğunun güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı savunuldu.
