Популярният модел на почистващия робот е продаван и у нас

Проблемите със сигурността и защитата на личните данни при "умните" домашни (IoT) уреди отново излязоха на преден план. Индийски програмист разкри, че популярен модел прахосмукачка робот, който се предлага и на българския пазар, тайно събира подробни данни за дома на собственика си и спира да работи, ако този "шпионаж" бъде спрян.

Харишанкар Нараянан, програмист и ентусиаст по електроника, описва в личния си блог как е решил да провери работата на своята прахосмукачка iLife A11 след година използване.

"Шпионаж" в реално време

След като анализирал интернет трафика на уреда, Нараянан установил, че прахосмукачката поддържа непрекъсната връзка със сървъри "на другия край на света". Тя изпращала логове и телеметрични данни, за чието споделяне той никога не е давал съгласие.

Програмистът решил да блокира достъпа на уреда до тези сървъри, като обаче му позволил да комуникира със системите на производителя за софтуерни актуализации.

Няколко дни по-късно прахосмукачката спряла да работи. При няколко посещения в сервизен център техниците заключили, че уредът е изправен, но часове след връщането си у дома той отново спирал да се включва. В крайна сметка гаранцията на Нараянан била отказана.

3D карти на дома и дистанционно блокиране

Това позволило на програмиста сам да изследва устройството. Той открил притеснителен пропуск в сигурността – сервизната функционалност "Android Debug Bridge" (ADB) не била защитена с парола. Това давало възможност на всеки по веригата (от завода до магазина) да манипулира софтуера.

Оказало се, че на робота работи софтуерът "Google Cartographer", чрез който сензорите на уреда създавали детайлни триизмерни карти на жилището и ги изпращали към отдалечен сървър.

Нараянан открил и скрипт, зареден дистанционно на робота малко след като спрял предаването на информация. Според него, някой с достъп до сървърите за актуализация умишлено е блокирал уреда в момента, в който "шпионажът" е бил прекратен.

Проблемът може да засяга и други марки

Според проучването на програмиста, моделът iLife A11 всъщност е ребрандиран продукт, базиран на модела 3irobotix CRL-200S. Този хардуер и потенциално същият софтуер се използват и от други марки, познати на българския пазар.

Към момента на проверката моделът A11 е изчезнал от официалния сайт на iLife, а компанията не е излязла с коментар.

Експерти по киберсигурност съветват потребителите да не се доверяват напълно на IoT устройствата. Препоръчително е подобни "умни" уреди да бъдат свързвани към отделна, ограничена Wi-Fi мрежа, която няма достъп до основните компютри в домакинството.