Інженер зацікавився роботою свого розумного пилососа iLife A11 і вирішив простежити за мережею, до якої він підключався. Саме тоді було виявлено, що пристрій постійно надсилає журнали подій та телеметричні дані виробнику — без будь-якої згоди користувача. Власник, відомий під ім’ям Харішанкар, заблокував IP-адреси серверів, що приймали телеметрію, залишивши відкритими лише адреси для оновлення прошивки та OTA-сервісів. Пилосос деякий час працював, але згодом перестав вмикатися. Після тривалого розслідування з’ясувалося, що на пристрій було відправлено віддалену команду вимкнення.
Прилад неодноразово відправляли до сервісного центру, де техніки без проблем запускали його, не виявляючи жодних несправностей. Проте після повернення додому пристрій кілька днів працював, а потім знову переставав вмикатися. Після кількох таких спроб сервісний центр відмовився приймати пристрій, пославшись на завершення гарантійного терміну. Через це власник вирішив розібрати пристрій, щоб з’ясувати причину збою та спробувати відновити його роботу.
Пилосос iLife A11, як розумний пристрій, містив систему-на-чипі AllWinner A33 з операційною системою TinaLinux та мікроконтролер GD32F103, який керував численними датчиками: Lidar, гіроскопами та енкодерами. Для перевірки компонентів інженер створив з’єднання з друкованими платами та написав скрипти на Python для керування ними з комп’ютера. Він також зібрав джойстик на базі Raspberry Pi, щоб вручну керувати пилососом, чим довів, що апаратна частина працює справно.
Далі увагу було зосереджено на програмному забезпеченні та операційній системі, де виявилася неприємна правда: пристрій являв собою серйозну загрозу безпеці та неконтрольований канал збору персональних даних. Підключення Android Debug Bridge, що забезпечувало повний root-доступ до системи пилососа, не було захищено жодним паролем чи шифруванням. Виробник лише частково прикрив цю вразливість, вилучивши один із важливих системних файлів, через що з’єднання розривалося після запуску, але цей захист легко вдалося обійти. Також було встановлено, що пристрій використовував бібліотеку Google Cartographer для побудови живої тривимірної карти приміщення.
Подібний механізм не є чимось незвичайним для розумних пилососів, адже їм потрібно орієнтуватися в просторі. Проте тривожним є те, що вся ця інформація надсилалася на сервери виробника без явного погодження користувача. Таке рішення могло бути виправданим через обмежені обчислювальні можливості пристрою, який не міг самостійно обробляти великі обсяги даних. Водночас жодного пояснення чи підтвердження з боку компанії щодо передачі таких даних користувачі не отримували.
Найбільш показовим виявом проблеми стала знахідка в журналах подій пилососа — команда з міткою часу, що точно збігалася з моментом, коли пристрій припинив працювати. Це була команда «kill», після зворотного аналізу якої пристрій вдалося знову запустити. Причина, чому пилосос функціонував у сервісному центрі, але не вдома, полягала в тому, що техніки скидували прошивку, видаляючи код блокування, і підключали його до відкритої мережі. Після повернення додому пристрій знову підключався до мережі з заблокованими телеметричними серверами і негайно «знешкоджувався» віддалено через відсутність зв’язку з виробником. Іншими словами, за блокування передачі даних пристрій просто переставав функціонувати.
«Хтось — чи щось — віддалено надіслав команду вимкнення», зазначив Харішанкар. «Незалежно від того, чи це було навмисне покарання, чи автоматизоване забезпечення “дотримання правил”, результат один: споживчий пристрій обернувся проти власника».
Імовірно, багато інших брендів розумних пилососів використовують аналогічне обладнання та мають подібні схеми роботи. Особливо це стосується дешевших моделей з обмеженими обчислювальними можливостями, які передають усі дані на віддалені сервери для обробки. Проте в такому випадку користувач фактично втрачає контроль над власною інформацією, дозволяючи виробникові розпоряджатися нею на власний розсуд.
Після численних технічних змін власнику вдалося змусити пилосос працювати повністю автономно, без контролю виробника. Це дозволило відновити працездатність пристрою та повернути контроль над власними даними. Для користувачів, які не мають достатнього технічного досвіду, він сформулював просту пораду: «Ніколи не підключайте IoT-пристрої до основної Wi-Fi-мережі» та «Сприймайте їх як сторонніх у власному домі».
The post Користувач відключив збирання даних пилососом, виробник у відповідь відключив пилосос appeared first on .