Akıllı ev teknolojilerinde veri güvenliği tartışmalarını alevlendiren çarpıcı bir olay yaşandı. Çin menşeli bir robot süpürge markasının sistemindeki yetkilendirme açığı, tek bir kullanıcının dünya genelindeki binlerce cihazın kamera, ses ve konum verilerine erişebilmesine neden oldu. Bir yazılım mühendisinin kişisel projesi sırasında tesadüfen ortaya çıkan bu durum, nesnelerin interneti (IoT) cihazlarındaki mahremiyet risklerini bir kez daha gündeme taşıdı.
OYUN KONSOLUYLA KONTROL ETMEK İSTERKEN GLOBAL VERİLERE ULAŞTI
The Guardian'ın haberine göre; olay, yazılım mühendisi Sammy Azdoufal’ın yeni satın aldığı robot süpürgeyi, bir yapay zeka kodlama asistanı yardımıyla oyun konsolu üzerinden yönetmek istemesiyle başladı. Geliştirdiği uygulama için cihazın şirketin sunucularıyla olan iletişim protokollerini inceleyen Azdoufal, beklemediği bir tabloyla karşılaştı.
Kendi cihazı için sunucudan aldığı erişim anahtarının, sistemdeki bir hata nedeniyle sadece kendi süpürgesini değil, dünya çapındaki diğer kullanıcıların cihazlarını da kapsadığını fark etti. Azdoufal, herhangi bir yasa dışı giriş yapmadan, sadece bu yetkilendirme açığını kullanarak 24 farklı ülkeden yaklaşık 7 bin robot süpürgeye istem dışı erişim sağladı.
MAHREMİYET ALARMI: KAMERA, SES VE EV PLANLARI AÇIĞA ÇIKTI
Sistemdeki güvenlik kodunun tamamen baypas edilebildiğini saptayan mühendis, cihazlarla eşleşme sağlanmasa dahi kameralara ulaşılabildiğini belirledi. Bu açık üzerinden erişilebilen hassas veriler arasında şunlar yer aldı:
Görüntü ve Ses: Cihazlar üzerinden gerçek zamanlı kamera yayınları ve ses kayıtları.
Ev Haritaları: Süpürgelerin temizlik sırasında oluşturduğu detaylı ev kat planları.
Teknik Veriler: Cihazların seri numaraları ve batarya durumları.
Konum Bilgileri: IP adresleri üzerinden kullanıcıların yaklaşık coğrafi konumları.
ŞİRKETTEN AÇIKLAMA: "ARKA UÇ DOĞRULAMA SORUNU GİDERİLDİ"
Yaşanan skandalın ardından üretici şirket sözcüsü resmi bir açıklama yayımlayarak sistemdeki açığı kabul etti. Şirket, sorunun "arka uç yetkilendirme doğrulama hatasından" kaynaklandığını ve MQTT tabanlı cihaz-sunucu iletişimini etkilediğini bildirdi.
Ocak ayı sonunda tespit edilen bu açığın, 8 ve 10 Şubat tarihlerinde yayımlanan iki ayrı güncelleme ile tamamen kapatıldığı duyuruldu. Şirket, bu düzenlemenin bulut üzerinden otomatik olarak uygulandığını ve kullanıcıların manuel bir işlem yapmasına gerek kalmadığını belirtti. Ayrıca, tespit edilen vakaların çoğunun güvenlik araştırmacılarının kendi cihazları üzerinde yürüttüğü testlerle sınırlı kaldığı savunuldu.
UZMANLARDAN KRİTİK UYARI
Yaşanan bu sızıntı, mikrofon ve kamera donanımına sahip akıllı ev aletlerinin oluşturabileceği riskleri yeniden tartışmaya açtı. Güvenlik uzmanları, bu tür cihazların üretim aşamasında yeterli şifreleme ve yetkilendirme katmanlarına sahip olmaması durumunda, kullanıcıların kişisel yaşam alanlarının dijital saldırılara açık hale gelebileceği konusunda uyarılarda bulundu.
