Hindistanlı yazılımcı Harishankar Narayanan, bir yıldır evinde kullandığı robot süpürgesinin izinsiz şekilde evin 3 boyutlu haritasını çıkarıp üretici firmaya gönderdiğini keşfedince büyük bir şok yaşadı. Blogunda paylaştığı bulgular, akıllı cihazların güvenliğiyle ilgili yeni bir tartışmanın fitilini ateşledi.

Narayanan, yaklaşık 300 dolarlık iLife A11 model robot süpürgesinin ağ trafiğini incelemeye başladığında beklenmedik bir gerçekle karşılaştı. Cihaz, “izni olmadan” dünya genelindeki uzak sunuculara sürekli veri aktarıyordu. İçeriğin günlük kayıtları, telemetri verileri ve haritalama bilgileri olduğu tespit edildi.

“Biraz paranoyak olabilirim ama bu iyi bir özellik,” diyen Narayanan, ağ trafiğini inceleme kararının her şeyi ortaya çıkardığını belirtti. Veri aktarımını durdurduktan kısa süre sonra süpürgenin tamamen çalışmayı bıraktığını söyleyen mühendis, cihazı defalarca servise gönderdi ancak “Serviste çalışıyor” yanıtıyla karşılaştı. Bir süre sonra ise garanti bahanesiyle servis desteği kesildi.

“Cihaz bir anda kâğıt ağırlığına döndü”

Cihaz tamamen bozulunca Narayanan tersine mühendisliğe girişti. Devre kartlarını söktü, yazılımı inceledi ve daha da şaşırtıcı bir bilgiye ulaştı: robot süpürgede Android Debug Bridge (ADB) açıktı. Bu sayede saniyeler içinde cihaza tam erişim sağlayabildi.

Yazılımı daha detaylı incelediğinde ise çok daha ciddi bir bulgu ortaya çıktı.Robot süpürge, Google’ın açık kaynaklı Cartographer yazılımını kullanarak evin 3D haritasını çıkarıyor ve bu verileri üreticiye gönderiyordu. Üstelik cihazın bozulduğu tarih ile aynı zaman damgasına sahip bir komut satırı, sanki uzaktan bir “cihazı kapatma” talimatı verilmiş gibi görünüyordu.

“Komut betiğini geri yükledim, cihaz anında çalıştı,” diyen Narayanan, üretici firmanın cihazı uzaktan kalıcı olarak devre dışı bırakabilecek bir yeteneğe sahip olduğunun altını çizdi.

Uzmanlar uyarıyor: Evlerimiz farkında olmadan haritalanıyor

Narayanan, yalnızca kendi cihazında değil, benzer sistemlerin birçok akıllı süpürgede daha bulunduğunu söylüyor. Kamera, mikrofon, LIDAR sensörleri ve haritalama teknolojilerinin, kullanıcıdan bağımsız şekilde veri toplayıp üreticilere gönderebildiğini belirtiyor.

“Evlerimiz, kim olduklarını bile tam bilmediğimiz şirketlerin ürettiği sensörlerle dolu. Tek satır bir kodla bunlar silaha dönüştürülebilir,” diyerek büyük bir gizlilik tehlikesine dikkat çekiyor.

Uzmanlar, akıllı süpürgeler başta olmak üzere tüm IoT cihazların ağ trafiğinin izlenmesi, güncellemelerin dikkatli yapılması ve izinlerin sıkı kontrol edilmesi gerektiğini vurguluyor.