DJI Romo MQTT açığı binlerce cihazı etkiledi
“`html
DJI’nin akıllı ev ürünleri arasında yer alan DJI Romo robot süpürgeleri, dünya genelinde önemli bir güvenlik sorunuyla gündeme geldi. Bir güvenlik araştırmacısı, yalnızca kendi cihazını uzaktan kontrol etmeye çalışırken binlerce Romo’ya erişim sağladığını keşfetti. Bu erişim, herhangi bir sunucu sızıntısı olmadan gerçekleşti.
Araştırmacı, yeni aldığı Romo’yu bir PlayStation 5 kumandasıyla yönetmek için basit bir uygulama geliştirdi. Ancak, DJI’nin MQTT tabanlı sunucuları üzerinden bağlantı kurduğunda, yalnızca kendi cihazından değil, dünya genelinde yaklaşık 7 bin robotla etkileşim kurabildi. Bu sayede, cihazların seri numaraları, temizlik yaptığı alanlar, batarya durumu ve gönderdiği veri paketleri görünür hale geldi.
Her üç saniyede bir iletilen MQTT mesajları, robotun hangi odada bulunduğuna, ne kadar mesafe kat ettiğine ve şarj ünitesine ne zaman döndüğüne dair bilgileri aktarıyordu. Dokuz dakika içerisinde 24 farklı ülkeden 6 bin 700’den fazla cihaz sisteme dahil oldu ve 100 binin üzerinde veri paketi toplandı. Ayrıca, DJI’nın Power taşınabilir güç istasyonları ile toplam erişim 10 bini aştı.
Araştırmacı, sadece cihaz listesini görmekle kalmadı, aynı zamanda belirli bir seri numarası ile spesifik bir Romo’yu da anlık olarak görüntüleyebildi. Örneğin, 14 haneli bir seri numarası girildiğinde, cihazın oturma odasında temizlik yaptığı ve %80 şarj seviyesine sahip olduğu doğrulandı. Bunun yanında, robotun oluşturduğu iki boyutlu ev planı uzaktaki bir dizüstü bilgisayara aktarılabildi.
Araştırmacı, DJI sunucularındaki yetkilendirme açığını ortaya çıkardı
Canlı demo sırasında, bazı cihazların kamera akışına erişim sağlandı. Araştırmacı, kendi Romo’sunun güvenlik PIN’ini devre dışı bırakarak görüntüyü uzaktan izleme imkanı buldu. Fransa’daki bir bilişim yöneticisi de uygulamanın salt okunur sürümüyle kendi cihazının kamera akışını, eşleştirme yapmadan gözlemleyebildiğini doğruladı.
DJI, ilk başta sorunun çözüldüğünü açıkladı. Şirket daha sonra arka uçta bir izin doğrulama eksikliği olduğunu kabul etti ve 8 Şubat ile 10 Şubat tarihlerinde iki ayrı güncelleme yayınlandığını bildirdi. Güncellemeler otomatik olarak dağıtıldı ve kullanıcı müdahalesi gerekmemektedir.
Şirket, cihaz ile sunucu arasındaki iletişimin TLS ile şifrelendiğini ve verilerin açık metin olarak iletilmediğini vurguladı. Ancak araştırmacı, MQTT üzerinde konu bazlı erişim kontrolleri olmaksızın yetkili bir istemcinin tüm mesajlara abone olabileceğini ifade etti. İletişim hattının şifreli olması, uygulama katmanındaki veriyi diğer yetkili istemcilerden gizlemiyor.
DJI, Avrupa’daki Romo verilerinin ABD merkezli AWS altyapısında tutulduğunu belirtti. Ayrıca şirket, uzun süredir bir hata ödül programı yürüttüğünü ve bulguların bu kapsamda değerlendirildiğini açıkladı. Bunun yanında, ilk güncellemenin tüm servis bölümlerine uygulanmadığı ve ikinci güncelleme ile kalan bölümlerin yeniden başlatıldığı bildirildi.
Araştırmacı ise hâlâ düzeltilmediği belirtilen iki zafiyetin olduğunu ifade etti. Bunlardan biri, cihaz sahibinin kendi kamera akışına PIN girmeden erişebilmesi ile ilgilidir. Diğer ayrıntılar henüz kamuoyuyla paylaşılmadı.
Akıllı ev cihazlarının bulut üzerinden çalışması yeni bir durum değil; ancak kamera ve mikrofon içeren sistemlerde erişim kontrolleri direkt olarak mahremiyetle ilişkili. 2024’te Ecovacs robot süpürgelerinin ele geçirilmesi ve 2025’te Güney Kore’deki bazı modellerde canlı kamera akışlarının raporlanması, benzer riskleri daha önce gündeme taşımıştı.
Bu olay, DJI Romo güvenlik açığını sadece tek bir model ile sınırlı kalmaktan çıkararak akıllı ev ekosisteminde bulut tabanlı iletişimin yeniden tartışılmasına yol açtı.
Teknoblog, teknoloji gündemini çeşitli platformlarda düzenli olarak paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikleri sunuyor, Instagram ve X hesaplarında dikkat çeken başlıkları özetliyor, YouTube kanalında ise ürün incelemeleri ve detaylı anlatımlarla içeriği tamamlıyor.
“`
