Домашните смарт устройства (IoT) стават все по-масови, но проблемите със сигурността и защитата на личните данни остават нерешени. Най-новото доказателство идва от Индия, но засяга популярен модел прахосмукачка робот, който се предлага и на българския пазар.
В центъра на историята е индийският програмист Харишанкар Нараянан, който решава да провери как точно работи неговият робот iLife A11 след година използване.
Само след няколко минути наблюдение на интернет трафика от уреда, той установява, че прахосмукачката поддържа непрекъсната връзка със сървъри "на другия край на света". Към тях без разрешение се изпращали логове и телеметрични данни. Нараянан незабавно блокирал достъпа до тези сървъри, като обаче оставил отворена връзката за софтуерни обновления от производителя.
Няколко дни по-късно прахосмукачката спряла да работи.
Започнала сага с посещения в сервизен център, където техниците всеки път твърдели, че уредът работи. У дома обаче, буквално часове по-късно, роботът отново отказвал да се включи. В крайна сметка гаранцията му била отказана, което "развързало ръцете" на програмиста да реши проблема сам.
След дни на проби и грешки, той стига до притеснително откритие. Сервизната функционалност Android Debug Bridge (ADB), която позволява инсталирането на всякакъв софтуер на робота, не била защитена с потребителско име и парола. Това означава, че на практика всеки по веригата – от завода до магазина – е могъл да манипулира устройството.
Но това не е всичко. Нараянан открил, че на уреда работи софтуерът Google Cartographer. Чрез него прахосмукачката е създавала и изпращала към отдалечен сървър детайлни триизмерни (3D) карти на жилището му, използвайки сензорите си за ориентация.
За да бъде шпионският сюжет пълен, програмистът открил и скрипт, зареден дистанционно на робота. Това се случило малко след като той спрял предаването на информация към външните сървъри. На практика някой, който има достъп до сървърите за ъпдейт, е "убил" (блокирал) уреда в момента, в който "шпионажът" е бил разкрит.
Оказва се, че iLife A11 е просто брандиран продукт, базиран на модела 3irobotix CRL-200S – голям ODM производител. Според онлайн източници, същият хардуер и потенциално същият софтуер се продават и под други брандове, познати у нас.
Към момента коментар от iLife няма, но моделът A11 е изчезнал от официалния сайт на компанията.
Съветът на експертите е да не се доверяваме сляпо на IoT устройствата. Специалистите препоръчват за по-сигурно всички "умни" уреди и роботи да бъдат свързани към своя собствена, отделна и ограничена Wi-Fi мрежа.
