Bir mühendis, sahip olduğu akıllı süpürgenin nasıl çalıştığını merak edip cihazdan gelen ağ trafiğini izlemeye başladı. Bu sırada, kendi izni olmadan sürekli olarak üreticiye günlük ve telemetri verileri gönderdiğini fark etti. Mühendis, süpürgenin ağındaki telemetri sunucularının IP adreslerini engellerken, cihazın yazılım ve güncelleme sunucularını açık bıraktı. Akıllı süpürgesi bir süre çalışsa da, kısa bir süre sonra açılmayı reddetti. Uzun süren bir inceleme sonucunda, cihazına uzaktan bir 'etkisizleştirme' komutu gönderildiğini keşfetti.
Cihazı defalarca servise gönderdi. Servis teknisyenleri cihaza baktıklarında herhangi bir sorun göremiyordu. Kendisine geri döndürülen süpürge birkaç gün çalışıyor, ardından tekrar açılmıyordu. Defalarca gidip gelmeler sonucunda servis, cihazın garanti dışı olduğunu belirterek kabul etmeyi bıraktı. Bu durum üzerine mühendis, cihazı parçalarına ayırarak neyin sorun olduğunu belirlemeye ve yeniden çalıştırıp çalıştıramayacağını görmeye karar verdi.
A11 modeli akıllı bir cihaz olduğu için, üzerinde bir işlemciye ve sensörleri yöneten bir mikrokontrolcüye sahipti. Mühendis, parçaları tek tek test etmek ve neyin yanlış gittiğini belirlemek için bilgisayarla kontrol edebileceği özel bağlantı noktaları oluşturdu ve Python betikleri yazdı. Daha sonra, donanımda herhangi bir sorun olmadığını kanıtlamak için süpürgeyi manuel olarak sürebildiği bir Raspberry Pi kumandası yaptı.
Ardından cihazın yazılımına ve işletim sistemine baktı. İşte orada karanlık gerçeği keşfetti: akıllı süpürgesi bir güvenlik kabusu ve kişisel verileri için bir kara delikti. Cihazın uzaktan erişimini sağlayan sistem, herhangi bir şifre veya şifreleme ile korunmuyordu. Üretici, kritik bir dosyayı eksik bırakarak geçici bir güvenlik önlemi almıştı, ancak mühendis bunu kolayca aşmıştı. Ayrıca, cihazın evinin canlı bir 3D haritasını oluşturmak için bir haritalama teknolojisi kullandığını keşfetti.
Bu durum, akıllı bir süpürgenin ev içinde gezinmesi için gerekli bir özellik olsa da, asıl endişe verici olan bu verilerin tamamının üreticinin sunucusuna gönderiliyor olmasıydı. Cihazın kendi işlemcisinin tüm bu verileri işlemek için yeterince güçlü olmaması nedeniyle verilerin üreticiye gönderilmesi mantıklı görünse de, bu durumun kullanıcılardan açıkça izin alınmadan yapıldığı anlaşılıyordu. Dahası, mühendis, çalışan süpürgesinin günlüklerinde, cihazın çalışmayı durdurduğu zamana denk gelen bir 'etkisizleştirme' komutu buldu. Bu komutu tersine çevirip cihazı yeniden başlattığında, süpürge tekrar çalışmaya başladı.
Peki A11 neden serviste çalışıyor da evde çalışmıyordu? Teknisyenler akıllı süpürgenin yazılımını sıfırlayarak 'etkisizleştirme' kodunu kaldırıyor ve açık bir ağa bağladıklarında cihaz normal şekilde çalışıyordu. Ancak, telemetri sunucularının engellendiği ağa tekrar bağlandığında, üreticinin sunucularıyla iletişim kuramadığı için uzaktan kullanılamaz hale geliyordu. Cihazın veri toplama yeteneklerini engellediği için üreticisi onu tamamen devre dışı bırakmaya karar vermişti. Mühendisin belirttiğine göre, 'Biri—ya da bir şey—uzaktan bir etki-sizleştirme komutu göndermişti.' 'Bu, kasıtlı bir ceza mı yoksa otomatik bir zorlama mıydı bilinmez ama sonuç aynıydı: tüketici cihazı sahibine karşı dönmüştü.'
Maalesef, birçok akıllı süpürge markası benzer donanımlar kullanıyor, bu nedenle aynı yapılandırmaya sahip olmaları şaşırtıcı değil. Bu durum, özellikle daha az yetenekli donanıma sahip ve verileri uzak bir sunucuya göndermek zorunda kalan daha ucuz cihazlar için geçerli olabilir. Ancak bilgileriniz kontrolünüz dışındaki başka bir cihaza aktarıldığı için, bilgilerinizin başına ne geldiği konusunda hiçbir fikriniz olmuyor ve bu da üreticiye istediği gibi kullanması için serbestlik tanıyor.
Sonuç olarak, sahip olduğu tüm modifikasyonlar sayesinde sahibi, süpürgesini üretici kontrolü olmadan tamamen yerel olarak çalıştırabildi. Bu, verileri üzerindeki kontrolünü yeniden kazanmasına ve 300 dolarlık yazılımla çalışmaz hale gelen akıllı cihazını kendi şartlarına göre kullanmasına olanak tanıdı. Onun başarılarını takip edecek teknik bilgi ve zamana sahip olmayanlar için tavsiyesi ise, 'IoT cihazları için asla birincil Wi-Fi ağınızı kullanmayın' ve 'Onları evinizdeki yabancılar gibi ele alın' oldu.
