Hindistan’da bir mühendis, iLife A11 model robot süpürgesinin izinsiz veri toplamasını engellediği için cihazının üretici tarafından uzaktan devre dışı bırakıldığını ortaya çıkardı.
Mühendis Harishankar, süpürgesinin ağ trafiğini incelerken cihazın üreticiye sürekli kayıt ve telemetri verisi gönderdiğini fark etti.
Kullanıcı rızası olmadan yapılan bu veri aktarımını önlemek için süpürgenin veri gönderdiği sunucuların IP adreslerini engelledi. Bir süre sorunsuz çalışan cihaz, daha sonra hiç açılmamaya başladı.
Harishankar, detaylı inceleme sonucu cihazına uzaktan bir “durdurma komutu” gönderildiğini tespit etti. Süpürge servise gönderildiğinde normal çalışıyor, eve dönüp yeniden ağa bağlandığında ise tekrar kilitleniyordu.
Servis merkezinin yazılımı sıfırlamasıyla komut geçici olarak siliniyor, ancak telemetri sunucularının engellendiği ev ağına bağlanınca cihaz yeniden devre dışı kalıyordu.
Cihazı sökerek analiz eden mühendis, AllWinner A33 çipi ve TinaLinux işletim sistemi kullanan süpürgenin ciddi güvenlik açıklarına sahip olduğunu belirledi.
Süpürge, şifresiz tam erişim (root) izni olan Android Hata Ayıklama Köprüsü (ADB) üzerinden uzaktan kontrol edilebiliyordu. Ayrıca cihaz, evin 3D haritasını oluşturup bu verileri üreticinin sunucusuna gönderiyordu.
Harishankar, “Bir cihaz, sahibine karşı koymamalı. Bu ya bilinçli bir ceza ya da otomatik bir uyumluluk zorlamasıydı” diyerek durumu eleştirdi.
Olay, akıllı ev cihazlarının veri güvenliği ve üretici kontrolü konusundaki endişeleri yeniden gündeme taşıdı.
