Giriş
Shark RV2320EDUS robot süpürgelerinin siber güvenlik açığı, kullanıcıların cihazlarının kontrolünü ele geçirebilmelerine olanak tanıyor. Bu durum, cihaz sahiplerinin mahremiyetini ciddi şekilde tehlikeye atmakta ve acil çözüm gerektirmektedir.
Saldırı Nasıl Çalışıyor?
Bir araştırmacı, &strong>tokay0, Shark RV2320EDUS model robot süpürgenin sertifikasını çıkararak, aynı AWS bölgesindeki diğer Shark süpürgeler üzerinde kök komutlar çalıştırabileceğini göstermiştir. Bu saldırı yöntemi, kullanıcının kamerasını izleme, robotu yönlendirme, evin haritasını okuma ve Wi-Fi şifresini düz metin olarak elde etme imkanı sunmaktadır.
Araştırmacı, bu yöntemi yalnızca kendi satın aldığı süpürgeler üzerinde test ettiğini belirtmiştir. Açığın düzeltilmediği ve CVE kodunun henüz verilmediği durum, kullanıcılara ciddi bir riski işaret etmektedir.
Etkilenen Sistemler
SharkNinja’nın ürettiği robot süpürgeler, bu siber saldırıya karşı hassastır. Özellikle, $aws/things/# konulu güncellemelerle ilgili olarak şu riskler bulunmaktadır:
- Delil sunan sertifikalar, diğer cihazların kontrolünü ele geçirme yeteneği taşır.
- İlk aşamada, Exec_Command alanı kullanılarak uzaktan komutlar çalıştırılabilir.
- Detayları gizli tutan sertifikalar, potansiyel olarak “skeleton key” yani anahtar görevi görebilir.
Bu sistemler içinde AV1102ARUS modeli, güncellenmiş güvenlik açıkları nedeniyle daha az risk taşımaktadır.
Çözüm ve Korunma
SharkNinja, açığın raporlandığı Mart 2023 tarihinden bu yana bir çözüm geliştirmedi. Araştırmacı, cihazların AWS üzerindeki politikalarının güncellenmesi gerektiğini vurgulamıştır. Ancak, kullanıcılar için şu anda alınabilecek önlemler sınırlıdır:
- Açığın varlığını göz önünde bulundurarak, robot süpürgenizi Wi-Fi ağından deaktif durumda tutun.
- Uygulama kontrolü ve programlama özelliklerini devre dışı bırakmak için cihazı kablo ile çalıştırmaya geçirin.
SharkNinja’nın, bu açığı gidermek için hızlı bir güncelleme sunması beklenmektedir. Ancak, bekleyen kullanıcılar için mevcut olan en etkili önlem, robotu Wi-Fi ağından tamamen çıkarmaktır.
Sonuç
Robot süpürgenizi Wi-Fi bağlantısından ayırarak, potansiyel olarak yaşanabilecek siber saldırılardan koruma altına alabilirsiniz. Cihazınızın güncel yazılımını kontrol edin ve gelişmeler hakkında bilgi almak için SharkNinja’dan haber bekleyin. Bu tür açıkların önüne geçmek, ağ güvenliğiniz açısından son derece önemlidir.


