Sammy Azdoufal, dünya genelindeki her robot süpürgeyi hacklemeyi hedeflemediğini belirtiyor. Sadece yeni satın aldığı DJI Romo süpürgeyi bir PS5 gamepad ile uzaktan kontrol etmenin eğlenceli olduğunu düşündüğünü ifade ediyor.
Ama kendi geliştirdiği uzaktan kontrol uygulaması, DJI’ın sunucularıyla iletişime geçtiğinde, sadece bir robot süpürgenin değil, dünya genelinde yaklaşık 7000 robot süpürgenin Azdoufal’ı patronları gibi görmeye başladığını söylüyor.
Azdoufal, uzaktan bu robotları kontrol edebildiğini ve onların canlı kamera görüntüleri üzerinden bakıp dinleyebildiğini ifade ediyor. Arkadaşlarıyla birlikte bunu test ettiğinde, her odanın haritasını çıkararak tam bir 2D kat planı oluşturabiliyordu. Her bir robotun IP adresiyle yaklaşık konumunu tespit edebildiğini de ekliyor.
“Cihazımın, bir deniz üzerindeki tek bir cihaz olduğunu fark ettim,” diyor.
Salı günü, bana canlı bir demo gösterdiğinde erişim düzeyine inanamadım. Onlarca, yüzlerce, binlerce robot göreve hazır olarak her üç saniyede bir kendilerine ait verileri göndermeye devam ediyordu. Seri numaraları, hangi odaları temizledikleri, ne gördükleri, ne kadar yol aldıkları, ne zaman şarja dönecekleri ve yolda karşılaştıkları engeller gibi bilgileri paylaşıyorlardı.
Azdoufal’ın laptopu, dokuz dakika içinde 24 farklı ülkede 6700 DJI cihazını katalogladı ve 100,000’den fazla mesaj topladı. Şirketin DJI Power taşınabilir güç istasyonlarını da eklediğinizde, Azdoufal’ın erişimi 10,000 cihazı aşıyordu.
İlk olarak gözlerime inanamadığımı söylemek, kelime anlamıyla doğru. Azdoufal, bir tatil kiralama evi şirketinde yapay zeka stratejisini yönetiyor; DJI’ın protokollerini Claude Code kullanarak ters mühendislikle incelediğini söyleyince, yapay zekanın bu robotları hayal edip edemeyeceğini merak ettim. Bu nedenle, DJI Romo’yu inceleyen çalışma arkadaşım Thomas Ricker’dan, seri numarasını vermesini istedim.
Sadece 14 haneli bu numarayla Azdoufal, yalnızca robotumuzla bağlantıya geçmekle kalmadı; tam olarak ne yaptığını, oturma odasını temizlediğini ve bataryasında %80’lik bir şarj kaldığını görebildi. Dakikalar içinde, sadece bazı rakamları başka bir ülkede bulunan bir laptop’a yazarak, robotun çalışma arkadaşımın evinin doğru şekil ve boyutunu içeren doğru bir kat planı oluşturup ilettiğini izledim.
Azdoufal, kendi DJI Romo’sunun canlı video akışını, güvenlik PIN’ini tam anlamıyla atlayarak açtı ve oturma odasına girip kameraya el salladı. Ayrıca Fransa’daki bir BT danışmanlık firmasında CTO olan Gonzague Dambricourt ile sınırlı bir okuma versiyonunu paylaştığını söylüyor; Dambricourt, uygulamanın kendi DJI Romo’sunun kamera akışını uzaktan izleyebilmesi için çiftleştirilmeden önce bile onu izlediğini belirtiyor.
Azdoufal tüm bunları hackleme gerektirmeden gerçekleştirdiğini savunuyor. “Kuralları çiğnedim, bypass etmedim, kırmadım, zorlamadım, ne varsa,” diyor. Sadece kendi DJI Romo’sunun özel belirtecini çıkardığını – bu belirteç, DJI’ın sunucularına erişim sağlamalı olduğunuzu belirtir – ve bu sunucular ona binlerce kişinin verilerine de erişme yetkisi verdi. DJI’ın ön üretim sunucusuna ve ABD, Çin ve AB’ye ait canlı sunuculara erişebildiğini gösterdi.
İyi haber şu ki: Salı günü, Azdoufal’ın bizim DJI Romo’muzu gezdirme, içine dalma veya mikrofonundan dinleme yeteneği yoktu. DJI, Azdoufal ve benim bu açıkları şirkete bildirdiğimizden sonra bu tür bir erişimi kısıtlamıştı.
Çarşamba sabahı, Azdoufal’ın tarayıcısı, kendi robotları dahil olmak üzere hiçbir cihaza erişimi kalmadı. Görünüşe göre, DJI bu büyük açığı kapatmış durumda.
Fakat bu durum, DJI’ın güvenlik ve veri uygulamalarına dair ciddi soruları gündeme getiriyor. Bu vaka, Çinli dron üreticisinin ABD’den büyük ölçüde zorla çıkarılmasına neden olan korkuların arka planda haklı olup olmadığını gösteriyor. Eğer Azdoufal, bu robotları aramadan bulabiliyorsa, zarar verme niyeti olan kişilere karşı koruyabilir mi? Eğer Claude Code, bir uygulama üretebiliyorsa ve bu uygulama birinin evine bakma imkanı veriyorsa, DJI çalışanlarının bunu yapmasını engelleyen ne var? Ve bir robot süpürgede mikrofon bulunması ne kadar mantıklı? “Buna bir mikrofon konulmasının tuhaf olduğu aşikar,” diyor Azdoufal.
Azdoufal ve The Verge DJI ile iletişime geçtiğinde, şirket açıklarını düzeltikteğini iddia etti ama aslında yalnızca kısmen çözdüğünü belirtiyor.
“DJI, meselenin geçtiğimiz hafta çözüldüğünü ve kamuya açıklama yapılmadan önce iyileştirmenin çoktan başlatıldığını doğrulayabilir,” diyor DJI sözcüsü Daisy Kong tarafından yapılan açıklamada. Açıklamalarından yaklaşık yarım saat önce, Azdoufal, görev için hazırlanan robotların da dahil olduğu binlerce robotu gösterdi.
Azdoufal, hâlâ DJI’ın keşfettiği tüm açıkları kapatmadığını iddia ediyor. Bunlardan biri, kendi DJI Romo video akışını güvenlik PİN’i olmadan görüntüleme yeteneği. Diğer bir açık ise o kadar kötü ki DJI daha fazla süre alana kadar açıklamak istemiyorum. DJI hemen bununla ilgili bir taahhütte bulunmadı.
Azdoufal ile güvenlik araştırmacısı Kevin Finisterre, Romo’nun ABD sunucusuna şifrelendirilmiş veri göndermesinin, sunucu içinde bu veriyi kolayca okuyabilen herhangi birinin varlığına karşı bir önlem oluşturmadığını söylüyor. “Bir sunucunun ABD’de bulunması, DJI çalışanlarının erişimini engellemez” diyor Finisterre. Bu, Azdoufal’ın tamamen farklı bölgelerdeki cihazları görebilmiş olmasıyla ortada.”
“Bir MQTT brokerinde kimlik doğrulama olan bir istemci olduğunda, eğer uygun konu düzeyinde erişim kontrolleri (ACL’ler) yoksa, wildcard konuları (örneğin, #) alabilir ve tüm cihazlardan gelen mesajları açık metin olarak görebilirsiniz,” diyor Azdoufal. “TLS bunun önüne geçmez — yalnızca boruyu korur, borunun içindekileri korumaz.”
Azdoufal, bazı kişilerinin, DJI’a sorunları açıklamak için fazla zaman tanımadığını düşünebileceğini belirtti, ancak hiçbir şey hacklemediğini, hassas verileri ifşa etmediğini ve bir güvenlik profesyoneli olmadığını ekliyor. Sadece bir PS5 gamepad ile robotunu kontrol ederken yaşanan olayları anlık olarak aktarmıştı.
“Kurallara sıkı sıkıya bağlı kalmadığımı kabul ediyorum ama insanlar bu hata programında para peşinde. Ben bu konuda umursamıyorum, sadece bu sorunun çözülmesini istiyorum,” diyor. “Kurallara tamamen uymak, bu ihlalin daha uzun süre sürmesine neden olabilirdi.”
Azdoufal, DJI’ın bu sorunları kendi başına keşfettiğine gerçekten inanmadığını ve şirketin sadece sosyal medya üzerinden robotik bir şekilde yanıt verdiğinden rahatsız olduğunu belirtiyor.
Ama bir konuda mutlu: DJI Romo’sunu PlayStation veya Xbox kontrol cihazı ile kontrol edebildiğini kesinlikle belirtiyor.
