Бюджетные роботы пылесосы отправляют детальные 3D-карты квартир и домов на сервера в Китай

Программист обнаружил, что его робот-пылесос iLife A11 стоимостью около 300 долларов регулярно отправлял производителю в Китае данные о жилище владельца, включая детализированную трёхмерную карту помещений, не запрашивая на это согласия.

Автор блога Small World Харишанкар Нараянан рассказал, что пользовался устройством около года, прежде чем решил изучить его внутренние процессы и сетевую активность. По его словам, подозрительность в вопросах безопасности помогала ему ранее проверять работу других домашних гаджетов, и на этот раз он решил применить тот же подход.

Почти сразу после начала мониторинга сети он заметил постоянную передачу данных на удалённые серверы, расположенные в Китае, где находится компания-производитель iLife A11. Программист утверждает, что робот-пылесос регулярно отправлял журналы работы и телеметрию, на сбор которых он никогда не давал разрешения. В этот момент Нараянан попытался прекратить коммуникацию устройства с серверами.

После блокировки передачи данных робот-пылесос продолжал работать лишь несколько дней и затем полностью остановился. В сервисном центре инженеру сообщили, что с техникой всё в порядке, и вернули её владельцу. Однако после нескольких запусков ситуация повторилась. Позднее ремонт был отклонён, поскольку срок гарантии неожиданно оказался завершён.

Так домашний помощник за 300 долларов фактически превратился в бесполезный предмет на полке.

Нараянан решил провести полноценное исследование устройства. Он занялся его реверс-инжинирингом, включая изучение платы и тестирование датчиков. В процессе выяснилось ещё одно обстоятельство, которое разработчик описал как тревожное. Интерфейс Android Debug Bridge, который используется для установки и отладки программного обеспечения, оказался открытым для внешнего подключения без каких-либо ограничений.

По словам программиста, получить полный root-доступ к системе удалось за считанные секунды, без использования эксплойтов или попыток взлома.

После подключения к роботу-пылесосу с компьютера стало ясно, что программное обеспечение устройства работает на базе Google Cartographer — решения с открытым исходным кодом, которое создаёт трёхмерные карты помещений и отправляет их на сервера в Китае. Кроме того, он обнаружил строку кода с временной отметкой, совпавшей с моментом отключения устройства, что заставило заподозрить удалённое вмешательство.

Владелец робота убеждён: подобные системы могут применяться во множестве других «умных» устройств, которые продолжают собирать и отправлять данные, оставаясь незамеченными пользователями.