Kamera ve Erişilebilirlik: Robot Süpürge Güvenliği Üzerine Yeni Bulgular

Bir yazılım mühendisi olan Sammy Azdoufal, yeni satın aldığı robot süpürgeyi oyun konsoluyla entegre eden bir yapay zeka kodlama asistanıyla kontrol etmek için bir uygulama geliştirdi. Ancak bu süreçte beklenmedik bir güvenlik açığıyla karşılaştı ve 24 ülkeden yaklaşık 7 bin süpürgeye istem dışı erişim sağladı.

Sunucu bağlantısında bulunan bir yetkilendirme açığı nedeniyle, kendi cihazı için edinilen erişim anahtarının başkalarının verilerine de ulaşabileceğini gördü. Bu durum, cihazın güvenlik kodunun tamamen aşılabildiğini ve eşleşme olmadan dahi kameraya erişilebildiğini gösterdi.

Kamera ve ses kayıtları ile konum bilgilerinin açığa çıkması netleştiğinde Azdoufal, bağlı cihazlar üzerinden gerçek zamanlı kameraya ve mikrofon kayıtlarına ulaşmanın mümkün olduğunu belirledi. Ayrıca cihaz serileri, batarya durumu, evlerin ayrıntılı kat planları ve IP adresleri üzerinden yaklaşık konum bilgileri elde edilmesi, kullanıcıların mahremiyetinin ciddi şekilde risk altında olduğunu gösterdi. Uzmanlar, bu tür akıllı cihazlarda yeterli güvenlik önlemleri alınmazsa, mahremiyet açısından önemli tehditler doğabileceğini vurguladı.

Şirket yetkili ağızdan güvenlik açığının giderildiği kaydı paylaşıldı. Şirket sözcüsünün yaptığı açıklamada, robot süpürgelerde “arka uç yetkilendirme doğrulama sorunu”nun bulunduğu kabul edildi. Kararlaştırılan düzeltmenin Ocak sonu tespit edildiği, 8 ve 10 Şubat tarihlerinde iki güncelleme ile bu açığın giderildiği ve kullanıcıların ek bir işlem yapmasına gerek kalmadan otomatik olarak uygulanacağı kaydedildi. Açıklamada, söz konusu güvenlik açığının MQTT tabanlı cihaz-sunucu iletişimini etkilediği ve teorik olarak yetkisiz erişime yol açabileceği ifade edildi. Ancak vakaların çoğunun, güvenlik araştırmacılarının kendi cihazları üzerinde yaptığı testlerden kaynaklandığı savunuldu. Guardian tarafından da bu gelişmeler paylaşıldı.