Yanlışlıkla 7 bin robot süpürgeyi kontrol etme yetkisi alan adam

 (popsci.com)
5 puan yazan GN⁺ 2026-02-23 | 1 yorum | WhatsApp'ta paylaş
  • Bir yazılım mühendisi, DJI robot süpürgesini oyun kumandasıyla kontrol etmeye çalışırken 7 bin cihazın erişim yetkisini elde etti
  • Kendi uygulamasını geliştirirken bir yapay zeka kodlama yardımcısını kullanarak bulut iletişim yöntemini tersine mühendislikle analiz etti ve aynı kimlik bilgilerinin başka cihazlarda da geçerli olduğu bir güvenlik açığı keşfetti
  • Bu sayede gerçek zamanlı kamera görüntüsü, mikrofon sesi, harita verisi gibi hassas bilgiler 24 ülkedeki cihazlarda açığa çıkabiliyordu
  • Bunu kötüye kullanmak yerine The Verge'e bildirdi; DJI ise hemen bir yama dağıttığını ve sorunu çözdüğünü açıkladı
  • Olay, akıllı ev cihazlarının güvenlik açıkları ile yapay zeka araçlarının yol açabileceği risk büyümesini gösteren bir örnek olarak dikkat çekiyor

DJI robot süpürgelerde keşfedilen büyük güvenlik açığı

  • Mühendis Sammy Azdoufal, kendi DJI Romo robot süpürgesini oyun kumandasıyla kontrol etmek için uygulama geliştirirken sorunu fark etti
    • Robot ile DJI bulut sunucuları arasındaki iletişimi analiz etmek için bir yapay zeka kodlama asistanı kullandı
    • Sunucu yalnızca tek bir cihazın kimliğini doğrulamakla kalmıyor, aynı erişim yetkisini başka binlerce cihaza da veriyordu
  • Sonuç olarak 7 binden fazla robot süpürgenin kamera, mikrofon, harita ve durum verilerine erişebildi
    • IP adresleri üzerinden cihazların yaklaşık konum bilgilerini de görebiliyordu
    • Bunu bir “hack” değil, tesadüfen keşfedilmiş bir güvenlik sorunu olarak tanımladı

DJI'nin yanıtı ve güvenlik yaması

  • DJI, ocak ayı sonunda yaptığı iç incelemede DJI Home ile ilgili güvenlik açığını doğruladığını ve hemen düzeltme sürecini başlattığını açıkladı
    • 8 Şubat'ta ilk yama, 10 Şubat'ta ise takip güncellemesi otomatik olarak dağıtıldı
    • Kullanıcının herhangi bir işlem yapmasına gerek kalmadan sorun giderildi
  • DJI, ek güvenlik güçlendirme adımlarını sürdürmeyi planladığını söyledi ancak ayrıntı vermedi
  • Azdoufal, ilgili sorunu The Verge'e bildirdi ve DJI'nin hızlı hareket etmesini sağladı

Akıllı ev cihazlarının güvenliği konusunda büyüyen kaygılar

  • Bu olay, internete bağlı robotlar ve akıllı ev cihazlarının bilgisayar korsanları için cazip hedefler olabileceğini gösteriyor
  • Son dönemde Ring kamera reklam tartışması, Google Nest video kurtarma vakası gibi örneklerle tüketicilerin gizlilik kaygıları büyüyor
  • ABD'de, DJI gibi Çin menşeli teknoloji ürünlerinin güvenlik riskleri gerekçesiyle bazı ürünlerin yasaklandığı örnekler de bulunuyor

Akıllı evlerin yaygınlaşması ve gizliliğin paradoksu

  • 2020 itibarıyla ABD'de 54 milyon hane akıllı ev cihazına sahipti
    • Bir kez kurulum yapan kullanıcılar ek cihaz satın almaya daha yatkın oluyor
  • Tesla, Figure, 1X gibi şirketler ev kullanımı için insansı robotlar geliştiriyor; bazıları şimdiden satışta
    • Bu tür robotların evin içindeki ayrıntılı bilgileri toplaması gerektiği için kişisel veri ifşası riski büyüyor

Teknolojik ilerleme ile güvenlik arasındaki denge sorunu

  • Yapay zeka tabanlı kodlama araçları geliştirme verimliliğini artırıyor, ancak aynı zamanda uzman olmayan kişilerin de açıkları kötüye kullanma olasılığını yükseltiyor
  • Bu vaka, yapay zeka ve IoT'nin birleştiği ortamda güvenlik yönetiminin önemini hatırlatan bir olay olarak değerlendiriliyor
  • Azdoufal, nihayetinde ilk hedefi olan robotu oyun kumandasıyla kontrol etmeyi başardı; ancak bu süreçte akıllı ev güvenliğinin zayıf noktalarını da ortaya çıkardı

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-23
Hacker News görüşleri

  • Kendi cihazlarını kontrol etmek için kullanılan kimlik bilgileriyle, dünya genelinde 24 ülkedeki yaklaşık 7.000 robot süpürgenin kamerasına, mikrofonuna, haritalarına ve durum verilerine erişebildiğini fark etmiş
    Geçen yıl Mysa akıllı termostatlarında aynı sorunu ben keşfedip açıklamıştım; aynı kimlik bilgileriyle tüm cihazlar kontrol edilebiliyordu
    Ayrıntılar önceki HN başlığında özetlenmiş

    • Bu tür cihazlar fiilen kusursuz casusluk araçlarına dönüşebilir
      Ucuz bir süpürgenin evin içinde casusluk yapabilmesi ürkütücü geliyor
    • Akıllı termostat kısmı özellikle korkutucu
      Evimdeki Haier mini split de GE Home uygulaması üzerinden WiFi'a bağlanıyor ve verileri GE Cloud'a gönderiyor
      Bir kez denedim, sonra hemen WiFi şifresini değiştirip bir daha bağlamadım
      İleride ESP32, sensörler ve IR alıcı-verici ile kendim kontrol etmeyi planlıyorum
      Böyle sistemlerde bir açık varsa, bir saldırganın elektrik talebinde ani sıçrama yaratabileceğini düşünmek mümkün
    • Acaba üretim sürecinde maliyeti kısmak için her cihaza benzersiz anahtar yüklemekten vazgeçmiş olabilirler mi diye merak ediyorum

  • Artık mahremiyetten vazgeçilmiş gibi hissediyorum
    İnsanlar evin içindeki kameraların dış sunuculara bağlanmasını normal karşılıyor
    Buna önem veren azınlık çoğunluğun içinde kayboluyor
    Sonuçta mahremiyeti önemseyenler cezalandırılmış oluyor

  • Roomba'mı her gün saat 17:00'de çalışacak şekilde ayarladım ama birkaç kez 19:00'da kendi kendine uyanıp yatak odasına giderek 5-10 dakika kaldıktan sonra geri döndü
    Nedenini hiç bilmiyorum

    • En azından temizlik yapıyor mu diye merak ediyorum
      Kelimenin tam anlamıyla yatağın yanında durup sonra geri dönüyor gibi geliyor

  • Kısa bir an için biri, insanlık tarihinde herkesten daha çok şeyi içine çekmiş oldu
    (robot süpürge olayıyla ilgili esprili bir ifade)

  • Ben internete bağlı olmayan cihazları tercih ediyorum
    Temel işlevler çevrimdışı da güvenilir biçimde çalışmalı; internet ise yalnızca açık güvenlik protokolleri üzerinden ek özellikler sağlamalı
    Böylece isteyenler bunu kendileri de uygulayabilir

  • 10 yıl önce bir startup'ta 401k sağlayıcısı kullanıyorduk; giriş yaptığımda iş arkadaşlarımın hesap bilgilerini görebildiğim olmuştu
    Hesap izolasyonu tamamen çökmüş durumdaydı
    Şaşırmıştım ama özel hayatlarını korumak için sessiz kaldım
    Şimdi dönüp bakınca konuyu daha güçlü biçimde gündeme getirmem gerekirdi diye düşünüyorum

    • Ben de normalde temkinli davranmaya çalışıyorum
      Ama karşı taraf özensiz davranıyorsa, o noktada sorunu kamuya açık biçimde duyurmanın değerli olduğunu düşünüyorum

  • Teknolojinin gelişmesi sayesinde, Stephen Wright'ın şu şakası artık
    “Hiçbir işe yaramayan bir düğmeyi açtım, Almanya'dan telefon geldi” sözündeki gibi internet ölçeğinde gerçeğe dönüşmüş durumda

  • Orijinal makale: The Verge - DJI Romo hack zafiyeti
    İlgili HN tartışması: bağlantı

  • Ben özellikle kamera veya mikrofonu olmayan bir model aldım

    • Eufy'm tüm işlemleri yerel olarak yaptığını iddia ediyor
      Bunu gerçekten doğrulamadım ama veri yerelliği ve mahremiyetten söz eden tek Çinli marka buydu, ben de bu yüzden seçtim
      Elbette bir firmware güncellemesiyle her şeyin değişebileceğini biliyorum
      Yine de fiyat/performans açısından iyi olduğu için memnunum
    • Eski Roomba'ların rastgele hareket yönteminin hak ettiği değeri görmediğini düşünüyorum
      Görünüşte verimsiz dursa da gerçek temizlik performansı oldukça iyiydi
    • Bu kamerasız modeller arasında otomatik boşaltma özelliği olan var mı diye merak ediyorum
    • Gerçekten kamera veya mikrofon olmadığını doğrulamanın bir yolu var mı diye sormak istiyorum
    • Akıllı telefonlarda da mikrofon var; buna neden sorun etmiyoruz diye karşılık vermek isterim

  • Teknik olarak biraz bile becerisi olan herkesin, Valetudo uyumlu bir süpürge alıp varsayılan yazılımı değiştirmesinin iyi bir fikir olduğunu düşünüyorum
    Valetudo resmi sitesi

    • Ama sitedeki “Why Not Valetudo” sayfasını görünce fikrim değişti
      Teknik olarak yetkinim ama robot süpürge kullanma nedenim zaman kazanıp daha değerli şeyler yapabilmek
      Valetudo bu amaca uygun değil
      Harika bir proje ama herkes için en iyi seçenek değil
    • Teknik konulara aşina olmayan biri için Claude kurulumda yardımcı olabilir mi diye merak ediyorum