Špehoval ho robotický vysavač: Do Číny posílal kompletní mapu domácnosti
Odebírat články 
Foto: Small World, Canva (se svolením)V souvislosti s odposlechem chytrou elektronikou se nejčastěji hovoří o telefonech nebo IP kamerách. Pokud se takové narušení soukromí prokáže, jde o výjimečné případy, za kterými často stojí hacking nebo bezpečnostní selhání jednotlivých společností. I přesto se ale objevují případy, kdy vzdálený přístup využije výrobce zařízení velmi neeticky a v některých regionech světa dokonce nelegálně. O jednom z takových případů informoval programátor Harishankar Narayanan, kterého špehoval robotický vysavač.
- Mohlo by vás zajímat: Test robotických vysavačů: 1. sbírá ponožky, 2. je levnější o polovinu a skvěle mopuje
Na začátku byla péče o bezpečnost
Narayanan používal vysavač iLife A11, který je standardním kombinovaným modelem s integrovaným mopem. Jako pokročilého uživatele jej ale začalo zajímat, jak zařízení komunikuje s domovskými servery výrobce a začal komunikaci vysavače sbírat. Zjistil, že vysavač komunikuje se vzdálenými servery velmi často a v pravidelných intervalech odesílá telemetrii a další data. Tuto část komunikace proto ve své domácí síti zablokoval, takže vysavač tuto část komunikace nemohl odeslat. Vše ostatní jako je dálkové ovládání v aplikaci nebo pravidelné aktualizace softwaru fungovaly dál, neboť komunikovaly s jinými servery.
Odebírejte naše články: Přidejte si boxík arecenze.cz na domovskou stránku Seznam.cz
Po několika dnech po tomto zásahu ale vysavač přestal fungovat a Narayanan jej odeslal do servisu. Tam pravděpodobně došlo k nahrání nového softwaru a zařízení opět několik dní uklízelo domácnost. Situace se ale opakovala a po třetí reklamaci ji výrobce přestal uznávat. Díky tomu se programátor rozhodl svůj vysavač rozebrat a podrobit jej tzv. reverznímu inženýrství. Při něm je zpětně rozklíčována funkčnost zařízení i bez technické dokumentace.
Vysavač odesílal mapu domu
V rámci svojí snahy si Narayanan vyrobil jednoduché vybavení, díky kterému mohl řídicí hardware a senzory vysavače připojit přímo k počítači. Tím se dostal ke kompletnímu zdrojovému kódu, a především k záznamům komunikace se servery výrobce. V nich nakonec nalezl záznam o vzdáleném příkazu, kterým výrobce na dálku vysavač deaktivoval. Stalo se tak ve všech případech, kdy byla zablokována telemetrická komunikace. U vysavače tak nikdy nešlo o závadu, ale o jeho zablokování na dálku.
Foto: Small World (se svolením)Narayanan svůj vysavač kompletně rozebral.
Vedle toho ale Narayanan objevil i další znepokojivé vlastnosti nainstalovaného softwaru. V prvé řadě to byla nezabezpečená komunikace, kdy výrobci bylo odesíláno například heslo k domácí Wi-Fi síti v nešifrované podobě. Ani samotný systém nebyl žádným způsobem zabezpečený a potenciální útočník se mohl dostat k přímému řízení vysavače. Asi nejznepokojivějším parametrem ale bylo odesílání kompletní mapy domácnosti na servery výrobce opět v nešifrované podobě.
Nevěřte své elektronice bezmezně
Drtivá většina moderní elektroniky, která nese označení „chytrá“ musí odesílat velké množství dat ke svému výrobci. Bez jeho serverů nemůže fungovat, stejně jako se neobejde bez připojení k internetu. To vše ale musí být maximálně zabezpečeno a šifrováno tak, aby se k citlivým údajům nedostal nikdo včetně výrobce. V tomto případě tomu ale bylo naopak a robotický vysavač vystavil svého uživatele potenciálnímu bezpečnostnímu riziku.
Zůstaneme-li v této kategorii, pak je dobré připomenout, že mnohé moderní vysavače mají kamery a mikrofony. Pokud by jejich výrobce byl stejně laxní i u těchto modelů, mohlo by docházet k opravdovému špehování prostřednictvím videa i zvuku. Byť je zmíněný vysavač iLife A11 modelem určeným pro indický a část asijského trhu, obsahuje totožný hardware jako vysavače Xiaomi nebo Wyze, které se běžně prodávají i v Evropě. U nich tak musíme doufat, že výrobce k zabezpečení přistupuje zodpovědněji než indický iLife.
Poučení z tohoto případu jsou jasná – chytrou elektroniku do domácnosti pořizovat od renomovaných výrobců a nespoléhat na čínská tržiště. I když na nich objevíte totožný model, který se na tuzemském trhu prodává s tučnou marží, nikdy nebudete mít jistotu bezpečné komunikace se servery výrobce. Druhým poučením může být provoz dvou domácích Wi-Fi sítí – jedné pro běžná zařízení a druhé pro prvky chytré domácnosti. Musí od sebe být odděleny, byť mohou běžet na jednom routeru.
Zdroje:
- Autorská tvorba redaktora portálu Arecenze
- https://codetiger.github.io/blog/the-day-my-smart-vacuum-turned-against-me
Použité zdroje
Rubriky
Podělte se o svůj názor, dotaz a poraďte ostatním v moderované diskuzi.
Zveřejňujeme každý slušný a přínosný komentář.