Programátor Harishankar Narayanan, známy svojou zdravou dávkou paranoje, narazil na šokujúce odhalenie v súvislosti s používaním inteligentného robotického vysávača. Po roku spoľahlivého využívania modelu iLife A11 zistil, že zariadenie neposiela len neškodné telemetrické dáta, ale aj kriticky citlivé informácie priamo na servery v Číne. Tento objav odkrýva temnú stránku internetu vecí (IoT), ktorý síce prináša pohodlie, ale zároveň predstavuje riziká pre súkromie a bezpečnosť.
Neočakávané správanie vysávača
Po zablokovaní IP adries na svojom firewalle vysávač niekoľko dní spokojne pracoval. Náhle však prestal fungovať bez akéhokoľvek varovania. Po odovzdaní prístroja do servisu žiadnu chybu nenašli a v systéme nuž nebolo nič podozrivé. Zariadenie však po návrate domov znova vypovedalo službu. Tento zvláštny cyklus sa pravidelne opakoval, až dokým neuplynula záručná doba. Zo zariadenia v hodnote 300 dolárov sa stal nefunkčný kus hardvéru.
Po vypršaní záruky sa Narayanan rozhodol vysávač rozobrať. Objavil sofistikovaný počítačový hardvér vrátane procesora AllWinner A33, mikrokontroléra GD32F103 a operačného systému Linux. Najznepokojivejším zistením bolo otvorené rozhranie Android Debug Bridge (ADB), umožňujúce neautorizovaný prístup s najvyššími právami. Táto zraniteľnosť viedla k okamžitému získaniu root prístupu do zariadenia.
Odosielanie citlivých údajov do Číny
V systéme vysávača programátor odhalil, že zariadenie odosielalo nenáväzny prúd údajov na servery výrobcu. Medzi dátami našiel nezašifrované heslo k domácej Wi-Fi sieti, čo predstavuje vážne riziko, ak by sa tieto údaje dostali do rúk neautorizovaných osôb. Ešte alarmujúcejšie bolo, že pomocou knižnice Google Cartographer zariadenie vytváralo detailné 3D mapy jeho bytu a posielalo ich do zahraničia.
Okrem toho objavil funkcie, ktoré umožňovali výrobcovi na diaľku deaktivovať zariadenie. Zmenené štartovacie skripty spôsobili, že vysávač bol fyzicky funkčný, ale jeho hlavná aplikácia bola znemožnená. Systém navyše obsahoval program rtty, umožňujúci diaľkové pripojenie výrobcu s neobmedzenými oprávneniami. Servisné zásahy v servisoch len potvrdili, že deaktivácia sa zastavila po opätovnom pripojení vysávača na otvorenú sieť, ktorá umožnila kontakt s „materskou loďou“, teda serverom výrobcu.
Ohrozenie miliónov domácností
Analýza ukázala, že identickú hardvérovú platformu ako iLife A11 využívajú aj zariadenia značiek ako Xiaomi, Wyze, Viomi či Cecotec. Milióny domácností na celom svete tak môžu byť vystavené riziku nevedomého úniku súkromných informácií, a to vrátane detailných plánov ich obytného priestoru alebo prístupových údajov k sieti.
Odborníci varujú pred podceňovaním takýchto hrozieb. Pre bežného spotrebiteľa je takmer nemožné odhaliť, či jeho inteligentné zariadenie vykonáva neautorizované aktivity. Detekčné mechanizmy sú dostupné len pre pokročilých používateľov. Napriek tomu existujú preventívne kroky – napríklad pripojenie inteligentných zariadení do špeciálne nastavenej hosťovskej Wi-Fi siete, ktorá izoluje IoT zariadenia od hlavnej siete a tak znižuje riziko zneužitia dát alebo neoprávneného prístupu.
Narayanan nakoniec svoj vysávač oživil a prevádzkuje ho offline, bez pripojenia ku cloudovým službám. Pri tejto príležitosti poznamenal, že „jeho vysávač mu vlastne nikdy nepatril“. Tento prípad by mal byť varovaním pre každého, kto využíva IoT technológie bez dostatočnej obozretnosti a ochrany.
