Sevgililer Günü’nde, dünya genelinde ilgi gören bir hikaye sunuyoruz: Bir adam, DJI robot süpürgesini bir PlayStation kontrol cihazıyla yönetmeye çalışırken, 7.000 uzaktan kumandalı DJI robotunun birbirine bağlı olduğu bir ağı keşfetti. Bu ağ, ona diğer insanların evlerine göz atma imkanı verdi.
DJI, Sammy Azdoufal’ın The Verge‘e ne kadar erişim sağladığını göstermeden önce, ilgili güvenlik açıkları üzerinde çalışmaya başlamıştı. Ancak, DJI’nın bu keşif için ona ne kadar para ödeyeceği belirsizdi; özellikle 2017’de güvenlik araştırmacısı Kevin Finisterre’ye karşı tutumu göz önüne alındığında.
Bugün, bu konuda bazı cevaplar mevcut.
DJI, Azdoufal’a yaptığı bir keşif için 30.000 dolar ödeyecek. Ancak hangi keşif için ödeme yapıldığı belirtilmedi. DJI, Azdoufal’ı isimlendirmese de, The Verge‘ye bir isimsiz güvenlik araştırmacısına ödül verildiğini doğruladı.
DJI, hangi keşif için ödeme yapıldığını söylemezken, Azdoufal’ın bulduğu ve güvenlik pinine ihtiyaç duymadan DJI Romo video akışını izlemeye olanak tanıyan ek açığın zaten kapatıldığını belirtti. DJI sözcüsü Daisy Kong’un ifadesine göre, “PIN kodu güvenlik açığının geçici olarak kapatıldığını, Şubat ayının sonlarına doğru doğrulayabiliriz.”
İnsanların merak ettiğini düşünebilirsiniz: Orijinal hikayemizde tanımlamaktan kaçındığımız o kadar kötü olan güvenlik açığı ne olacak? DJI, bunun üzerinde de çalıştığını belirtti: “Sistemimizin tamamını güncellemeye başladık. Bu, tamamen uygulanmasını bir ay içinde beklediğimiz bir dizi güncellemeyi içeriyor.”
DJI, ayrıca bugün güvenliği güçlendirme hakkında bir genel blog yazısı yayınladı; burada, orijinal sorunun kendileri tarafından keşfedildiğini iddia ederken, “iki bağımsız güvenlik araştırmacısına” aynı problemi buldukları için teşekkür etti.
Bu yazıda, DJI Sorunun tamamen çözüldüğünü belirtiyor: “Güncellemeler, sorunların tamamen çözülmesi için dağıtıldı.” Ancak, yalnızca bir güvenlik açığı yoktu ve DJI, The Verge‘ye bu sürecin bir ay daha sürebileceğini bildirdi.
DJI, ayrıca Romo’nun ETSI, AB ve UL güvenlik sertifikalarına sahip olduğunu belirtti; bu durum, bir kişinin sadece bir kontrol koduyla bir robovac ağına erişmesinin ardından bu sertifikaların ne kadar geçerli olduğunu sorgulatıyor. Romo ve uygulamasının bağımsız üçüncü taraf güvenlik denetimlerine tabi tutulacağını da ekledi.
DJI, güvenlik araştırmacıları topluluğu ile iletişimini derinleştirmeye kararlı olduğunu ve yakında araştırmacılarla işbirliği yapacak yeni yollar sunacaklarını belirtti.
