DJI’ın akıllı ev pazarına sunduğu DJI Romo robot süpürgeler, küresel ölçekte ciddi bir güvenlik açığıyla gündeme geldi. Bir güvenlik araştırmacısı, yalnızca kendi cihazını uzaktan kontrol etmek isterken binlerce farklı Romo’ya erişebildiğini ortaya koydu. Üstelik bu erişim, herhangi bir sunucu sızması gerçekleştirmeden sağlandı.
Araştırmacı, yeni aldığı Romo’yu bir PlayStation 5 koluyla yönetmek için basit bir uygulama geliştirdi. Ancak uygulama DJI’nin MQTT tabanlı sunucularıyla iletişime geçtiğinde, yalnızca tek bir cihazdan değil, dünya genelinde yaklaşık 7 bin robottan yanıt aldı. Böylece cihazların seri numarası, temizlik yaptığı odalar, batarya seviyesi ve gönderdiği veri paketleri görünür hale geldi.
Dahası, her üç saniyede bir iletilen MQTT mesajları; robotun hangi odada bulunduğunu, ne kadar mesafe kat ettiğini ve şarj ünitesine ne zaman döndüğünü aktarıyordu. Dokuz dakika içinde 24 farklı ülkeden 6 bin 700’den fazla cihaz sisteme eklendi ve 100 bini aşkın veri paketi toplandı. Buna ek olarak DJI’nin Power taşınabilir güç istasyonları da aynı altyapıyı kullandığı için toplam erişim 10 bin cihazın üzerine çıktı.
Araştırmacı yalnızca cihaz listesini görmekle kalmadı, belirli bir seri numarasıyla spesifik bir Romo’yu da anında görüntüledi. Örneğin 14 haneli seri numarası girildiğinde, cihazın oturma odasını temizlediği ve yüzde 80 şarj seviyesinde olduğu doğrulandı. Bunun yanında robotun oluşturduğu iki boyutlu ev planı uzaktaki bir dizüstü bilgisayara aktarıldı.
Araştırmacı DJI sunucularındaki yetkilendirme açığını ortaya çıkardı
Canlı demo sırasında bazı cihazların kamera akışına erişim de sağlandı. Araştırmacı, kendi Romo’sunun güvenlik PIN’ini devre dışı bırakarak görüntüyü uzaktan izledi. Fransa’daki bir bilişim yöneticisi de uygulamanın salt okunur sürümüyle kendi cihazının kamera akışını eşleştirme yapmadan görebildiğini doğruladı.
DJI ise ilk etapta sorunun giderildiğini açıkladı. Şirket daha sonra arka uçta bir izin doğrulama eksikliği bulunduğunu kabul etti ve 8 Şubat ile 10 Şubat tarihlerinde iki ayrı güncelleme yayımladığını bildirdi. Güncellemeler otomatik olarak dağıtıldı ve kullanıcı tarafında ek işlem gerekmedi.
Şirket, cihaz ile sunucu arasındaki iletişimin TLS ile şifrelendiğini ve verilerin açık metin olarak iletilmediğini vurguladı. Buna rağmen araştırmacı, MQTT üzerinde konu bazlı erişim kontrolleri olmadan yetkili bir istemcinin tüm mesajlara abone olabildiğini ifade etti. İletim hattının şifreli olması, uygulama katmanındaki veriyi diğer yetkili istemcilerden gizlemiyor.
DJI, Avrupa’daki Romo verilerinin ABD merkezli AWS altyapısında tutulduğunu açıkladı. Ayrıca şirket, uzun süredir bir hata ödül programı yürüttüğünü ve bulguları bu kapsamda değerlendirdiğini bildirdi. Bunun yanında ilk yamanın tüm servis düğümlerine uygulanmadığı ve ikinci güncellemeyle kalan bölümlerin yeniden başlatıldığı aktarıldı.
Öte yandan araştırmacı, hâlâ düzeltilmediğini söylediği iki ayrı zafiyet bulunduğunu belirtti. Bunlardan biri, cihaz sahibinin kendi kamera akışına PIN girmeden erişebilmesiyle ilgili. Diğer açığın ayrıntıları ise henüz kamuoyuyla paylaşılmadı.
Akıllı ev cihazlarının bulut üzerinden çalışması yeni değil; fakat kamera ve mikrofon içeren sistemlerde erişim kontrolleri doğrudan mahremiyetle ilişki kuruyor. 2024’te Ecovacs robot süpürgelerin ele geçirilmesi ve 2025’te Güney Kore’de bazı modellerde canlı kamera açıklarının raporlanması, benzer riskleri daha önce de gündeme taşıdı.
Bu olayla birlikte DJI Romo güvenlik açığı, yalnızca tek bir modelin sorunu olmaktan çıktı ve akıllı ev ekosistemindeki bulut tabanlı iletişimi yeniden tartışmaya açtı.
Teknoblog, teknoloji gündemini farklı platformlarda düzenli biçimde paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikleri sunuyor, Instagram ve X hesaplarında dikkat çeken başlıkları özetliyor, YouTube kanalında ise ürün incelemeleri ve detaylı anlatımlarla içeriği tamamlıyor.
