Yazılımcı, Yanlışlıkla 7 Bin Robot Süpürgeyi Kontrol Etti

Bir yazılım mühendisi olan Sammy Azdoufal, yeni DJI robot süpürgesini bir video oyunu kumandasıyla kontrol etmek isterken, istemeden binlerce kişinin evine erişim sağladı. Kendi uzaktan kumanda uygulamasını geliştirirken, robotun DJI'ın bulut sunucularıyla nasıl iletişim kurduğunu tersine mühendislikle çözmek için bir yapay zeka kodlama asistanı kullandı. Ancak kısa süre sonra, kendi cihazını görmesini ve kontrol etmesini sağlayan kimlik bilgilerinin, 24 ülkedeki yaklaşık 7.000 diğer süpürgenin canlı kamera akışlarına, mikrofon seslerine, haritalarına ve durum verilerine de erişim sağladığını keşfetti. Bu arka uç güvenlik hatası, yanlış ellere geçtiğinde gözetim araçlarına dönüşebilecek internete bağlı bir robot ordusunu ortaya çıkardı ve sahipleri bundan asla haberdar olmayacaktı.

Neyse ki Azdoufal bu durumu kötüye kullanmayı tercih etmedi. Bunun yerine, bulgularını The Verge ile paylaştı ve The Verge de hatayı bildirmek için hızla DJI ile iletişime geçti. DJI, Popular Science'a sorunun "çözüldüğünü" belirtse de, bu dramatik olay, siber güvenlik uzmanlarının uzun süredir internete bağlı robotların ve diğer akıllı ev cihazlarının bilgisayar korsanları için cazip hedefler oluşturduğu yönündeki uyarılarının altını çiziyor. Söz konusu robot, geçen yıl Çin'de piyasaya sürülen DJI Romo adlı otonom bir ev süpürgesidir. Romo'nun işlev görmesi için, çalıştığı binadan sürekli görsel veri toplaması ve bu verilerin bir kısmını DJI'ın sunucularında depolaması gerekir. Azdoufal'ın DIY kumanda fikrinin çalışması için, uygulamasının DJI'ın sunucularıyla iletişim kurması ve robotun sahibi olduğunu kanıtlayan bir güvenlik jetonu çıkarması gerekiyordu. Ancak sunucular, tek bir jetonu doğrulamak yerine, onu küçük bir robot ordusunun sahibi gibi kabul ederek erişim sağladı. Bu hata, Azdoufal'ın gerçek zamanlı kamera akışlarına erişmesine ve mikrofonlarını etkinleştirmesine olanak tanıdı.