Dron texnologiyaları ilə tanınan Çin şirkəti DJI-nin “DJI Romo” adlı robot tozsoranlarında aşkar edilən kritik təhlükəsizlik boşluğu, ağıllı ev cihazlarının potensial təhlükələrini yenidən gündəmə gətirib. Sammy Azdoufal adlı proqram təminatı mühəndisinin sadəcə əyləncə məqsədilə yəni öz robot tozsoranını “PlayStation 5” pultu ilə idarə etmək istəyərkən təsadüfən kəşf etdiyi bu boşluq ona şirkət tərəfindən 30.000 dollar məbləğində mükafat qazandırıb. “The Verge” nəşrinin ictimaiyyətə açıqladığı bu hadisə, kiçik bir proqramlaşdırma cəhdinin necə böyük bir kiber təhlükəsizlik kabusuna çevrilə biləcəyini göstərir.
PS5 Pultu ilə Azdoufal, süni intellekt dəstəkli kodlaşdırma alətlərindən istifadə edərək robotun serverlərlə necə əlaqə qurduğunu öyrənməyə çalışarkən DJI-nin bulud infrastrukturunda çox sadə, lakin həlledici bir səhvə rast gəlib. O, sistemə daxil olduqda yalnız öz cihazını deyil, 24 fərqli ölkədəki təxminən 7000-dən çox robot tozsoranı eyni anda görə bildiyini və onlara nəzarət edə bildiyini fərq edib. Məsələnin ən qorxuducu tərəfi isə o idi ki, proqramçı bu boşluq vasitəsilə yad insanların evlərindəki canlı kamera görüntülərinə baxa, mikrofonları dinləyə və hətta evlərin dəqiq 2D xəritələrini kənardan əldə edə bilirdi.
Hadisənin ciddiliyini sübut etmək üçün Azdoufal “The Verge” jurnalistinin icazəsi ilə onun test üçün istifadə etdiyi robotun 14 rəqəmli seriya nömrəsini sistemə daxil edərək, jurnalistin başqa ölkədə yerləşən evinin xəritəsini çıxarıb və robotun batareya səviyyəsinə qədər hər şeyi canlı nümayiş etdirib. Vəziyyətin tamamilə nəzarətdən çıxa biləcəyini anlayan mühəndis, bu dataları pis niyyətlə istifadə etmək əvəzinə dərhal DJI şirkətinə və mətbuata məlumat verib. Nəticədə şirkət problemi qısa müddətdə həll edərək, məsuliyyətli davranışına və təhlükəsizlik hesabatına görə ona 30 min dollar dəyərində bug bounty ödəyəcəyini təsdiqləyib.
Bununla belə, bəzi kiber təhlükəsizlik ekspertləri və Azdoufal özü də problemin tamamilə aradan qaldırılmadığını iddia edirlər. DJI rəsmiləri əsas icazə problemini həll etdiklərini bildirsələr də, “The Verge”in məlumatına görə kamera yayımı üçün tələb olunan PIN kodundan yan keçmək kimi bəzi digər kritik açıqlar hələ də var. Mövcud vəziyyət fonunda DJI hazırda bütün sistemin genişmiqyaslı infrastruktur yenilənməsinə başlayıb. Şirkət, gələcəkdə oxşar halların qarşısını almaq üçün həm aparat, həm də mobil tətbiqlərinin mütəmadi olaraq müstəqil üçüncü tərəf şirkətlər tərəfindən audit ediləcəyini və təhlükəsizlik yamalarının daha sürətli buraxılacağını vəd edib.
