Шпион в доме? Робот-пылесос собирал данные без разрешения и отправлял их производителю

Инженер заинтересовался, как работает его «умный» пылесос, и начал отслеживать сетевой трафик, исходящий от устройства, рассказывает издание Tom’s Hardware. Оказалось, что пылесос отправляет личные данные на серверы производителя без разрешения, а когда владелец заблокировал сбор информации, гаджет перестал работать.

Пользователь решил заблокировать IP-адреса серверов телеметрии в своей сети, оставив открытыми лишь серверы прошивки и обновлений. Некоторое время устройство работало нормально, но вскоре перестало включаться. Он несколько раз отправлял пылесос в сервисный центр, где специалисты без труда запускали его и не находили никаких неисправностей. Однако стоило вернуть устройство домой — через несколько дней оно снова переставало загружаться. Тогда инженер решил разобрать пылесос, чтобы выяснить, что именно делает его неисправным, и попробовать вернуть его к жизни.

Внутри он обнаружил микроконтроллер, управляющий множеством датчиков, включая лидар, гироскопы и энкодеры. Он создал переходники для печатной платы и написал Python-скрипты для их управления с компьютера, чтобы протестировать каждую часть по отдельности и понять, что вышло из строя. После этого он собрал джойстик на Raspberry Pi, чтобы вручную управлять пылесосом, доказав, что с железом все в порядке.

Дальше он перешел к анализу программного обеспечения и операционной системы — и именно там обнаружил тревожную правду: его «умный» пылесос оказался кошмаром с точки зрения безопасности и «черной дырой» для личных данных. Прежде всего, интерфейс Android Debug Bridge, предоставляющий полный root-доступ к устройству, не был защищен ни паролем, ни шифрованием.

Он также выяснил, что пылесос использует Google Cartographer для построения 3D-карты его квартиры в реальном времени. Само по себе это не удивительно — подобные данные необходимы устройству для навигации. Однако владельца насторожило то, что вся эта информация автоматически отправлялась на сервер производителя. С технической точки зрения, это объяснимо: встроенный процессор пылесоса слишком слаб, чтобы обрабатывать такие объемы данных. Но, по-видимому, компания-производитель не сочла нужным уведомить об этом своих клиентов.

Кроме того, инженер сделал тревожное открытие — в логах неработающего устройства он нашел команду с меткой времени, точно совпадающей с моментом, когда пылесос перестал включаться. Это была команда на отключение устройства со стороны производителя. После того как пользователь отменил ее и перезапустил устройство, пылесос снова заработал.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро