Zablokował szpiegowanie i odkurzacz przestał działać. Historia jak z Black Mirror

Inżynier o imieniu Harishankar odkrył, że jego inteligentny odkurzacz iLife A11 nie tylko gromadził ogromne ilości danych o jego domu, ale, ku jego zaskoczeniu, też został zdalnie wyłączony po tym, jak właściciel zablokował komunikację z serwerami producenta.

Zaczęło się niewinnie. Harishankar, ciekawy jak działa jego robot sprzątający, postanowił przeanalizować ruch sieciowy wychodzący z odkurzacza. Szybko odkrył, że urządzenie nieustannie wysyła logi i dane telemetryczne do producenta, mimo że nigdy nie wyraził na to zgody. Zaniepokojony, zablokował na swoim routerze adresy IP serwerów zbierających dane, pozostawiając jednak dostęp do aktualizacji i oprogramowania. Początkowo wszystko działało, ale po kilku dniach odkurzacz odmówił posłuszeństwa. Urządzenie przestało się uruchamiać, jakby ktoś zdalnie je „uśmiercił”.

Harishankar odkrył, że jego inteligentny odkurzacz został zdalnie wyłączony po tym, jak właściciel zablokował komunikację z serwerami producenta.

Serwis bezradny, właściciel zdeterminowany

Inżynier wysłał sprzęt do autoryzowanego serwisu. Tam technicy bez problemu włączyli odkurzacz i nie zauważyli żadnych usterek. Po odesłaniu urządzenia do domu sytuacja się powtórzyła: kilka dni pracy i ponowna awaria. Po kilku takich rundach serwis odmówił dalszej naprawy, tłumacząc, że sprzęt jest już po gwarancji. Wtedy Harishankar postanowił wziąć sprawy w swoje ręce, rozebrał odkurzacz na części i rozpoczął śledztwo.

Analiza sprzętu ujawniła, że iLife A11 to zaawansowany komputer na kółkach. W środku znajdował się procesor AllWinner A33 z systemem TinaLinux, mikrokontroler GD32F103 oraz zestaw czujników: lidar, żyroskopy, enkodery. Inżynier stworzył własne złącza PCB, napisał skrypty w Pythonie i sterował odkurzaczem przez komputer, a nawet stworzył joystick z Raspberry Pi, by prowadzić urządzenie ręcznie. Wszystko działało, co potwierdziło, że problem nie leży w sprzęcie, lecz w oprogramowaniu.

Odkurzacz z rootem bez hasła

Wtedy Harishankar odkrył coś niepokojącego. Odkurzacz posiadał aktywny Android Debug Bridge (ADB), czyli narzędzie dające pełen dostęp do systemu, bez żadnego hasła ani szyfrowania. Producent dodał jedynie prowizoryczny „zabezpieczacz”, który rozłączał ADB po kilku sekundach od uruchomienia. Dla doświadczonego inżyniera obejście tego było dziecinnie proste. Po uzyskaniu pełnego dostępu do systemu odkrył, że urządzenie korzysta z Google Cartographera, by tworzyć trójwymiarową mapę domu użytkownika w czasie rzeczywistym. I choć to normalne dla robotów sprzątających, problemem było to, że wszystkie dane były przesyłane do serwerów producenta, bez jasnej zgody użytkownika.

„Ubity” za nieposłuszeństwo

Najbardziej niepokojące odkrycie przyszło później. W logach systemowych Harishankar natrafił na komendę „kill”, wysłaną dokładnie w momencie, gdy jego odkurzacz przestał działać. Po cofnięciu tej instrukcji i ponownym uruchomieniu robot ożył. Oznaczało to jedno: producent zdalnie zablokował urządzenie, ponieważ nie mogło się połączyć z jego serwerami telemetrycznymi. Gdy odkurzacz pracował w serwisie, był resetowany i działał poprawnie. Po powrocie do domu, gdy ponownie trafił na zablokowaną sieć, został znów „uśmiercony”. „Ktoś (lub coś) zdalnie wydał rozkaz zabicia mojego urządzenia. Nieważne, czy był to automat czy człowiek. Efekt był ten sam: sprzęt obrócił się przeciwko właścicielowi” - napisał Harishankar.

Smart urządzenia – wygoda czy zagrożenie?

Inżynier ostatecznie odzyskał kontrolę nad swoim odkurzaczem. Dzięki modyfikacjom może teraz działać w pełni lokalnie, bez kontaktu z serwerami producenta. Jednak jego historia stawia poważne pytania o bezpieczeństwo i prywatność użytkowników IoT.

Tanie inteligentne sprzęty często nie mają mocy obliczeniowej, by analizować dane samodzielnie, dlatego przesyłają wszystko do chmury. Ale gdy dane użytkownika stają się dla producenta warunkiem działania urządzenia, granica między zwykłym sprzątaniem a szpiegowaniem zaciera się niebezpiecznie szybko.

Na koniec Harishankar podzielił się radą, która powinna trafić do każdego, kto ma w domu inteligentne urządzenia: „Nigdy nie podłączaj sprzętów IoT do swojej głównej sieci Wi-Fi. Traktuj je jak obcych w swoim domu”.