DJI Romo Açığı Binlerce Robot Süpürgeyi Açığa Çıkardı

24.02.2026 Bot 2 Techolay
DJI Romo Açığı Binlerce Robot Süpürgeyi Açığa Çıkardı

Bir yapay zekâ stratejisti, kendi DJI Romo’sunu PS5’le kontrol etmek için yazdığı basit bir uzaktan kumanda uygulamasıyla, dünyaya yayılmış binlerce Romo’ya “yanlışlıkla” erişebildi. Kişisel token’ıyla DJI sunucularına bağlanınca, yaklaşık 6.700–7.000 robot süpürgenin canlı kamera görüntülerine, mikrofonuna, anlık konumuna ve ev harita verilerine ulaşmak mümkün oldu; hatta cihazları uzaktan sürmek bile. Olayı bağımsız olarak doğrulayan The Verge, araştırmacının bir gazetecinin Romo’sunu yalnızca seri numarasıyla hareket ettirebildiğini aktarıyor.

Açığın kaynağı neydi?

Sorun, cihaz-sunucu iletişiminde kullanılan MQTT altyapısındaki erişim kontrolünden kaynaklandı. Tek bir kimlik belirteci (token) yeterince sınırlandırılmadığı için, bir kullanıcının yetkisi binlerce farklı cihaza yayıldı. Konu düzeyinde erişim listeleri (ACL) uygulanmadığından, joker aboneliklerle çok sayıda cihazın telemetrisi, durum bilgisi ve akışları dinlenebildi.

Kapsam da küçümsenecek gibi değildi: Kısa sürede en az 24 ülkede binlerce Romo görüldü. Bazı kaynaklar, robot süpürgelerin ötesinde DJI ekosistemindeki diğer bağlı ekipmanların teşhis verilerinin de görünür durumda olduğuna işaret ediyor. Toplam görünür cihaz sayısının 10 bin civarına çıktığı aktarılıyor.

DJI ne yaptı, bugün durum ne?

DJI, olay gündeme taşındıktan sonra iki aşamalı bir sunucu tarafı ve OTA düzeltmesi yayımladı: 8 Şubat 2026 ve 10 Şubat 2026 tarihli yamalarla token kapsamı daraltıldı ve MQTT konu erişimleri kapatıldı. Şirket ilk açıklamasında açığın giderildiğini söylese de, düzeltmenin bu tarihler arasında kademeli uygulandığı ve sorunların bir kısmının o aralıkta devam ettiği belirtiliyor. Bugün itibarıyla kritik açık için kalıcı bir çözüm yayımlandığı ifade ediliyor.

Bu olay, evin içinde kamera ve mikrofonla gezen akıllı cihazların güvenlik mimarisinde “en az ayrıcalık” ilkesinin vazgeçilmez olduğunu bir kez daha hatırlattı. Basit bir belirtecin gereğinden geniş yetkiler taşıması, pratikte “anahtarın” tüm kapıları açmasına yol açtı.

Kullanıcılar ne yapmalı?

  • DJI Home uygulamasını ve Romo’nun bellenimini hemen güncelleyin; güncellemeyi doğrulayın.
  • Uygulama/cihaz PIN’ini değiştirin; mümkünse kamera/mikrofon erişimine ek kısıt koyun.
  • Romo’yu ev ağınızda ayrı bir misafir Wi‑Fi/VLAN üzerinde çalıştırın.
  • Hesaptan çıkış yapıp yeniden giriş yaparak oturum belirteçlerini tazeleyin.
  • Bulut erişim izinlerini ve paylaşımları (varsa) gözden geçirin.

Kaynak: www.techspot.com

Kaynak: Techolay

Blog'a dön Kaynağı Gör