Robot Süpürgenin Ayarlarıyla Oynarken Herkesin Süpürgesini Hackledi

Yapay zeka stratejisti Sammy Azdoufal evindeki robot süpürgeyi PlayStation kumandasıyla denetim edebilmek için aygıtın yazılım protokollerini incelemeye başladı. Bilakis mühendislik formülleriyle kendi aygıtına ilişkin erişim anahtarını (token) elde eden Azdoufal, sistemi test ettiğinde beklenmedik bir tabloyla karşılaştı. Azdoufal, rastgele bir şifre kırma yahut siber akın tekniği kullanmadan, yalnızca kendi aygıtı üzerinden dünya genelindeki yaklaşık 6.700 süpürgenin tüm denetim yetkisini eline geçirdi.

Bu açık sayesinde ABD’den Çin’e kadar binlerce hanedeki robot süpürgelerin kamerasına bağlanmak, mikrofonlarını dinlemek ve aygıtları uzaktan yönetmek mümkün hale geldi. Azdoufal, ‘Sisteme sızmadım ya da kuralları çiğnemedim; fakat sistem bana tüm dünyanın kapısını açtı’ diyerek zafiyetin boyutuna dikkat çekti.

Azdoufal’ın tespitlerine nazaran, hassas kullanıcı dataları ‘düz metin’ (plain text) formatında tutuluyordu. Bu da sunucuya erişim sağlayan herkesin, binlerce kişinin mahremiyetine hiçbir maniyle müsabakadan ulaşabileceği manasına geliyordu.

DJI, ihtarın akabinde yayınladığı güncellemeyle açığı kapatsa da uzmanlar IoT (Nesnelerin İnterneti) aygıtlarının güvenliğini tartışmaya devam ediyor. Geçtiğimiz yıl da emsal bir hadisede, bilgi göndermesi engellenen bir aygıtın üretici tarafından uzaktan yönetilerek devre dışı bırakıldığı görülmüştü. Bu olaylar, konutumuza aldığımız ‘akıllı’ yardımcıların, kâfi tedbir alınmadığında birer casus aygıta dönüşebileceğini bir kere daha kanıtladı.