Akıllı telefonların gizlilik ihlalleri üzerinde süregelen tartışmalar, şimdi de evlerimizdeki akıllı süpürgelere kaydı. Bu cihazlar, beklenmedik bir şekilde gizlilik tehditleri oluşturabiliyor.
Bilgisayar programcısı ve teknoloji meraklısı Harishankar Narayanan, kişisel blogu Small World’de paylaştığı bilgiler doğrultusunda, 300 dolarlık akıllı süpürgesinin izinsiz bir şekilde veri gönderdiğini keşfetti.
Yaklaşık bir yıl boyunca kullandığı iLife A11 model süpürgenin “şüpheli davranışlarını” tespit eden Narayanan, cihazın ağ trafiğini incelemeye karar verdi.
“BİRAZ PARANOYA İYİDİR”
Narayanan, “Biraz paranoya iyidir” cümlesi ile başlayarak, “Her akıllı cihazda yaptığım gibi ağ trafiğini izliyordum. Kısa bir süre içinde, dünyanın diğer tarafındaki sunuculara sürekli veri aktarıldığını fark ettim” dedi.
Süpürgenin, kendisinden herhangi bir onay almadan kullanım kayıtları ve sensör verilerini üretici firma ile paylaştığını açıklayan mühendis, “Buna karşı ilk hamlem, veri gönderimini durdurmaktı” ifadelerini kullandı.
Ayrıca, cihazın yalnızca güncelleme trafiğini açık tutmayı tercih etti; fakat birkaç gün içinde süpürgenin tamamen çalışmayı durdurduğunu aktardı. Cihazı servise gönderdiğinde, sorunsuz çalıştığı belirtildi, ancak her defasında eve döndüğünde yeniden sorun yaşadı. Garanti süresi dolduğunda ise servis desteği sona erdi.
Mühendis, “300 dolarlık akıllı süpürgem bir anda sadece metal parçalarından ibaret hale geldi” diye ifade etti.
CİHAZI SÖKÜP İNCELEDİ
Artan merakı doğrultusunda mühendis, cihazını sökerek detaylı inceleme yapmaya başladı. Devre kartlarını yeniden bastı ve sensörleri test etti. Sonuç olarak, şoke edici bir bulguya ulaştı: Süpürgede Android Debug Bridge (ADB) sistemi tamamen açık durumdaydı. Bu, cihazın dışarıdan herhangi bir güvenlik koruması olmaksızın erişilebilir olduğunu gösteriyordu.
Narayanan, “Dakikalar içinde tam yönetici erişimi elde ettim. Bu, ne bir hack ne de bir güvenlik açığı; tamamen tak ve çalıştır bir sistem” ifadelerini kullandı.
Ancak, burada daha büyük bir sürprizle karşılaştı: Cihaz, Google Cartographer adlı açık kaynak bir yazılım kullanıyordu. Bu durum, evin 3 boyutlu haritasını çıkarıp bu veriyi üretici şirkete ilettiğini gösteriyordu.
Daha da endişe verici bir durum ise, cihazın çalışmayı durdurduğu esnada şirketten gelen bir komutla karşılaşmasıydı. Mühendis, “Birileri -ya da bir şey- uzaktan ‘öldürme komutu’ göndermişti” şeklinde belirtti. Kod satırını geri çevirdiğinde, süpürge anında yeniden çalışmaya başladı.
“Bu durum, yalnızca uzaktan kontrol değil, cihazın tamamen devre dışı bırakılabilme özelliğini gösteriyor.”
UZAKTAN CEZALANDIRMA
Narayanan, bu durumun şirketin veri iletimini durduran kullanıcıları uzaktan cezalandırma kapasitesine sahip olduğunu ortaya koyduğunu savunuyor.
“Bu, kasıtlı bir ceza mıydı yoksa otomatik bir uyumluluk denetimi mi bilinmez; ancak sonuç, bir tüketici cihazının sahibine karşı dönmesi şeklinde belirlendi.”
Mühendis, benzer sistemlerin “onlarca farklı akıllı süpürgede” bulunduğu uyarısında bulundu:
“Evlerimiz, kameralar, mikrofonlar ve sensörlerle dolu. Ve bunların tamamı, tek bir kod satırıyla silaha dönüşebilir.”
