Harishankar Narayanan adlı bir yazılımcı ve elektronik meraklısı, kendi blogu Small World’de 300 dolarlık akıllı süpürgesiyle ilgili çarpıcı bir gerçeği paylaştı: cihazı, evinden hassas verileri dışarıya gönderiyordu. Narayanan, bir yıldır popüler iLife A11 robot süpürgesini kullanıyordu. Meraklanınca, cihazın iç sistemlerini incelemeye karar verdi.
“Biraz paranoyağım ama iyi türden,” diye yazdı. “Bu yüzden, her akıllı cihazda yaptığım gibi, ağ trafiğini izlemeye karar verdim.” Dakikalar içinde, süpürgenin dünya çapında uzak sunuculara sürekli veri gönderdiğini fark etti.
“Robot süpürgem, üretici firmasıyla sürekli iletişim halindeydi, hiç izin vermediğim günlükleri ve telemetri verilerini aktarıyordu,” diye belirtti Narayanan. “İlk hatamı o zaman yaptım: bunu durdurmaya karar verdim.”
Mühendis, cihazın veri yayınını durdurdu ancak yazılım güncellemeleri gibi diğer ağ işlevlerini açık bıraktı. Süpürge birkaç gün daha çalıştı, fakat bir sabah çalışmayı tamamen durdurdu.
“Tamire gönderdim. Servis merkezi, ‘Burada sorunsuz çalışıyor efendim,’ dedi.” Cihaz geri gönderildiğinde kısa süreliğine çalıştı, sonra tekrar bozuldu. Bu döngü birkaç kez tekrarlandı. En sonunda servis merkezi, cihazın garanti süresi dolduğu gerekçesiyle işlem yapmayı reddetti.
“300 dolarlık akıllı süpürgem bir anda kâğıt ağırlığına dönüştü,” diye yazdı Narayanan.
Artık cihaz çalışmadığına göre, Narayanan vakit kaybetmeden içini açtı ve sistemini tersine mühendislikle inceledi. Devre kartlarını yeniden bastı, sensörlerini test etti ve korkunç bir şey buldu: cihaz, uygulama yüklemek ve hata ayıklamak için kullanılan Android Debug Bridge yazılımını tamamen açık şekilde barındırıyordu.
“Saniyeler içinde tam kök erişimi elde ettim. Ne hack, ne açık… Tak ve çalıştır,” dedi Narayanan.
Deneme yanılma yöntemiyle süpürgenin sistemine bilgisayarından bağlandı. Ancak daha büyük bir sürprizle karşılaştı: cihaz, evinin 3 boyutlu haritasını çıkaran açık kaynaklı Google Cartographer yazılımını çalıştırıyordu. Ve bu veriler, üretici şirkete gönderiliyordu.
Ayrıca Narayanan, cihazın bozulduğu ana denk gelen zaman damgalı şüpheli bir komut da buldu. “Birileri ya da bir şey uzaktan cihazı devre dışı bırakma emri vermişti,” dedi.
“Komut betiğini geri aldım ve cihazı yeniden başlattım. Anında çalıştı. Uzaktan kontrol özelliği sadece eklenmemişti, aktif olarak cihazı kalıcı şekilde devre dışı bırakmak için kullanılmıştı.”
Kısacası, üretici firma, cihazı uzaktan devre dışı bırakma gücüne sahipti ve Narayanan, veri toplamayı engellediği için bu özellik kullanılarak cezalandırıldığını belirtti. Bu kasıtlı bir ceza mıydı, yoksa otomatik bir yaptırım mı bilinmez, ama sonuç aynıydı.
Narayanan, benzer sistemlerin “onlarca akıllı süpürgede” daha bulunduğu uyarısını yapıyor:
“Evlerimiz, bağlantılı olduğu şirketleri bile zar zor tanıdığımız kameralar, mikrofonlar ve mobil sensörlerle dolu — tümü tek bir satır kodla silaha dönüştürülebilir.”