Прахосмукачка блокира, ако не ѝ позволим да шпионира дома ни
Популярният модел на почистващия робот е продаван и у нас
Проблемите със сигурността и отбраната на персоналните данни при " умните " домашни (IoT) уреди още веднъж излязоха на напред във времето. Индийски програмист разкри, че известен модел прахосмукачка робот, който се предлага и на българския пазар, скрито събира подробни данни за дома на притежателя си и стопира да работи, в случай че този " шпионаж " бъде спрян.
Харишанкар Нараянан, програмист и запалянко по електроника, разказва в персоналния си блог по какъв начин е решил да ревизира работата на своята прахосмукачка iLife A11 след година потребление.
" Шпионаж " в действително време
След като анализирал интернет трафика на уреда, Нараянан открил, че прахосмукачката поддържа непрекъсната връзка със сървъри " на другия завършек на света ". Тя изпращала логове и телеметрични данни, за чието шерване той в никакъв случай не е давал единодушие.
Програмистът решил да блокира достъпа на уреда до тези сървъри, като обаче му разрешил да комуникира със системите на производителя за софтуерни актуализации.
Няколко дни по-късно прахосмукачката спряла да работи. При няколко визити в сервизен център техниците заключили, че уредът е изправен, само че часове след връщането си вкъщи той още веднъж спирал да се включва. В последна сметка гаранцията на Нараянан била отказана.
3D карти на дома и отдалечено блокиране
Това разрешило на програмиста самичък да изследва устройството. Той разкрил стеснителен пропуск в сигурността – сервизната функционалност " Android Debug Bridge " (ADB) не била предпазена с ключова дума. Това давало опция на всеки по веригата (от завода до магазина) да манипулира софтуера.
Оказало се, че на робота работи софтуерът " Гугъл Cartographer ", посредством който датчиците на уреда създавали детайлни триизмерни карти на жилището и ги изпращали към далечен сървър.
Нараянан разкрил и скрипт, зареден отдалечено на робота малко откакто спрял предаването на информация. Според него, някой с достъп до сървърите за актуализация съзнателно е блокирал уреда сега, в който " шпионажът " е бил преустановен.
Проблемът може да визира и други марки
Според изследването на програмиста, моделът iLife A11 в действителност е ребрандиран артикул, основан на модела 3irobotix CRL-200S. Този хардуер и евентуално същият програмен продукт се употребяват и от други марки, познати на българския пазар.
Към момента на инспекцията моделът A11 е липсващ от формалния уебсайт на iLife, а компанията не е излязла с коментар.
Експерти по киберсигурност поучават потребителите да не се доверяват изцяло на IoT устройствата. Препоръчително е сходни " умни " уреди да бъдат свързвани към обособена, лимитирана Wi-Fi мрежа, която няма достъп до главните компютри в семейството.
Проблемите със сигурността и отбраната на персоналните данни при " умните " домашни (IoT) уреди още веднъж излязоха на напред във времето. Индийски програмист разкри, че известен модел прахосмукачка робот, който се предлага и на българския пазар, скрито събира подробни данни за дома на притежателя си и стопира да работи, в случай че този " шпионаж " бъде спрян.
Харишанкар Нараянан, програмист и запалянко по електроника, разказва в персоналния си блог по какъв начин е решил да ревизира работата на своята прахосмукачка iLife A11 след година потребление.
" Шпионаж " в действително време
След като анализирал интернет трафика на уреда, Нараянан открил, че прахосмукачката поддържа непрекъсната връзка със сървъри " на другия завършек на света ". Тя изпращала логове и телеметрични данни, за чието шерване той в никакъв случай не е давал единодушие.
Програмистът решил да блокира достъпа на уреда до тези сървъри, като обаче му разрешил да комуникира със системите на производителя за софтуерни актуализации.
Няколко дни по-късно прахосмукачката спряла да работи. При няколко визити в сервизен център техниците заключили, че уредът е изправен, само че часове след връщането си вкъщи той още веднъж спирал да се включва. В последна сметка гаранцията на Нараянан била отказана.
3D карти на дома и отдалечено блокиране
Това разрешило на програмиста самичък да изследва устройството. Той разкрил стеснителен пропуск в сигурността – сервизната функционалност " Android Debug Bridge " (ADB) не била предпазена с ключова дума. Това давало опция на всеки по веригата (от завода до магазина) да манипулира софтуера.
Оказало се, че на робота работи софтуерът " Гугъл Cartographer ", посредством който датчиците на уреда създавали детайлни триизмерни карти на жилището и ги изпращали към далечен сървър.
Нараянан разкрил и скрипт, зареден отдалечено на робота малко откакто спрял предаването на информация. Според него, някой с достъп до сървърите за актуализация съзнателно е блокирал уреда сега, в който " шпионажът " е бил преустановен.
Проблемът може да визира и други марки
Според изследването на програмиста, моделът iLife A11 в действителност е ребрандиран артикул, основан на модела 3irobotix CRL-200S. Този хардуер и евентуално същият програмен продукт се употребяват и от други марки, познати на българския пазар.
Към момента на инспекцията моделът A11 е липсващ от формалния уебсайт на iLife, а компанията не е излязла с коментар.
Експерти по киберсигурност поучават потребителите да не се доверяват изцяло на IoT устройствата. Препоръчително е сходни " умни " уреди да бъдат свързвани към обособена, лимитирана Wi-Fi мрежа, която няма достъп до главните компютри в семейството.
Източник: dunavmost.com
КОМЕНТАРИ