V dobe, keď sa inteligentné zariadenia stávajú bežnou súčasťou domácností sa málokto zamýšľa nad tým, aké množstvo dát odosielajú o svojich majiteľoch. Príbeh inžiniera Harishankara, ktorý vlastnil robotický vysávač iLife A11, je varovným príkladom toho, čo sa môže stať, keď používateľ získa kontrolu nad svojím zariadením – a výrobca sa mu to rozhodne „vrátiť“. Téme sa venoval portál Tomshardware.
Harishankar sa zo zvedavosti rozhodol monitorovať sieťovú prevádzku svojho vysávača. Zistil, že zariadenie neustále odosiela logy a telemetrické dáta na servery výrobcu, bez toho, aby s tým používateľ niekedy výslovne súhlasil. Aby ochránil svoje súkromie, zablokoval IP adresy týchto serverov, no zároveň nechal otvorený prístup k aktualizáciám a firmvéru.
Niekoľko dní všetko fungovalo normálne. Potom však vysávač jednoducho odmietol zapnúť. Po dlhom pátraní inžinier zistil, že do zariadenia bol odoslaný vzdialený „kill command“, ktorý ho doslova „zabil“.
Servis nechápal, doma nefungoval
Harishankar niekoľkokrát odniesol svoj vysávač do autorizovaného servisu. Technici ho bez problémov zapli, skontrolovali a tvrdili, že všetko je v poriadku. Po návrate domov však zariadenie po pár dňoch opäť prestalo fungovať. Po niekoľkých cykloch reklamácií servis odmietol opravu s odôvodnením, že zariadenie je po záruke.
Inžinier sa preto rozhodol zistiť, čo sa vo vnútri smart vysávača skutočne deje. Rozobral ho, pripojil k počítaču a začal analyzovať jeho elektroniku aj softvér. To čo zistíi ho totálne šokovalo.
Vnútri sa skrýval plnohodnotný mini počítač
iLife A11 používal čip AllWinner A33 SoC s operačným systémom TinaLinux a mikrokontrolér GD32F103, ktorý spracovával dáta zo senzorov – LIDAR, gyroskopov či enkodérov.
Harishankar vytvoril vlastné konektory PCB a napísal Python skripty, vďaka ktorým mohol jednotlivé súčasti testovať. Dokonca postavil joystick na Raspberry Pi, cez ktorý manuálne ovládal vysávač – a tým potvrdil, že hardvér je úplne v poriadku.
Vysávač odosielal 3D mapu domácnosti na servery výrobcu!
Po hlbšom prieskume softvéru Harishankar objavil nepríjemnú pravdu. Vysávač bol plne prístupný cez Android Debug Bridge (ADB), bez akéhokoľvek hesla alebo šifrovania. Výrobca sa pokúsil pridať „bezpečnostnú vrstvu“ tým, že odstránil jeden kľúčový súbor, no inžinier túto ochranu ľahko obišiel.
V logoch objavil aj to, že vysávač používal Google Cartographer – nástroj, ktorý vytvára 3D mapu domácnosti. To by samo o sebe nebolo problémom, keby všetky dáta neputovali na servery výrobcu.
A práve tu objavil dôkaz – záznam s časovou pečiatkou, ktorá presne zodpovedala momentu, keď zariadenie prestalo fungovať. Bol to vzdialený príkaz na deaktiváciu zariadenia.
Vypnutie kvôli „neposlušnosti“
Ukázalo sa, že servisné centrum po každej oprave nahrávalo novú verziu firmvéru bez kill kódu. Vysávač následne fungoval, no po pripojení k domácemu WiFi s blokovanými servermi sa znovu „zablokoval“.
Keď teda používateľ zakázal zdieľanie dát, systém ho „potrestal“ vypnutím zariadenia. Harishankar to opísal slovami: „Či už to bol úmyselný trest alebo automatická kontrola, výsledok bol rovnaký – spotrebiteľské zariadenie sa obrátilo proti svojmu majiteľovi.“
Hrozba, ktorá sa netýka len jedného výrobcu
Podľa Harishankara podobný dizajn používajú viaceré lacnejšie značky smart vysávačov, ktoré majú slabší hardvér a nedokážu spracovávať dáta priamo v zariadení.
Preto ich posielajú na vzdialené servery, čím používateľ úplne stráca kontrolu nad svojimi informáciami.
Číňania už vyrobili iPhone 17 Pro s operačným systémom Android
Ako situáciu vyriešil
Po niekoľkých úpravách dokázal Harishankar zariadenie upraviť tak, že beží úplne offline – bez kontaktu s výrobcom, no s plnou funkčnosťou. Získal tak späť kontrolu nad svojimi dátami aj zariadením, ktoré bolo pôvodne „softvérovo znefunkčnené“.
Jeho záverečné odporúčanie pre ostatných je jednoduché: „Nikdy nepripájajte svoje IoT zariadenia na hlavnú WiFi sieť a vždy ich berte ako cudzincov vo svojom dome.“ Nikdy totiž neviete, kam odosielajú vaše súkromné dáta. A veru môže ísť o veľmi citlivé informácie.
Nezabudnite tiež na náš SvetApple bazár, v ktorom nájdete viac ako 1 200 inzerátov na rôzne Apple zariadenia. Tie sem môžete pridať úplne zadarmo kliknutím na tento odkaz.