Бюджетні роботи пилососи відправляють детальні 3D-карти квартир та будинків на сервери до Китаю

Програміст виявив, що його робот-пилосос iLife A11 вартістю близько 300 доларів регулярно надсилав виробнику в Китаї дані про житло власника, включаючи деталізовану тривимірну карту приміщень, не вимагаючи на це згоди.

Автор блогу Small World Харишанкар Нараянан розповів, що користувався пристроєм близько року, перш ніж вирішив вивчити його внутрішні процеси та мережеву активність. За його словами, підозрілість у питаннях безпеки допомагала йому раніше перевіряти роботу інших домашніх гаджетів, і цього разу він вирішив застосувати той самий підхід.

Майже одразу після початку моніторингу мережі він помітив постійну передачу даних на віддалені сервери, розташовані в Китаї, де знаходиться компанія-виробник iLife A11. Програміст стверджує, що робот-пилосос регулярно відправляв журнали роботи та телеметрію, на збір яких він ніколи не давав дозволу. У цей момент Нараянан спробував припинити комунікацію пристрою із серверами.

Після блокування передачі робот-пилосос продовжував працювати лише кілька днів і потім повністю зупинився. У сервісному центрі інженеру повідомили, що з технікою все гаразд і повернули її власнику. Проте після кількох запусків ситуація повторилася. Пізніше ремонт було відхилено, оскільки термін гарантії несподівано завершився.

Так домашній помічник за 300 доларів фактично перетворився на марну річ на полиці.

Нараянан вирішив провести повноцінне дослідження пристрою. Він зайнявся його реверс-інжинірингом, включаючи вивчення плати та тестування датчиків. У процесі з’ясувалося ще одна обставина, яку описав розробник як тривожне. Інтерфейс Android Debug Bridge, який використовується для встановлення та налагодження програмного забезпечення, виявився відкритим для зовнішнього підключення без жодних обмежень.

За словами програміста, отримати повний root-доступ до системи вдалося за лічені секунди без використання експлойтів або спроб злому.

Після підключення до роботи-пилососа з комп’ютера стало зрозуміло, що програмне забезпечення пристрою працює на базі Google Cartographer – рішення з відкритим вихідним кодом, що створює тривимірні карти приміщень та відправляє їх на сервери в Китаї. Крім того, він виявив рядок коду з тимчасовою позначкою, що збіглася з моментом відключення пристрою, що змусило запідозрити віддалене втручання.

Власник робота переконаний: подібні системи можуть застосовуватися в багатьох інших «розумних» пристроїв, які продовжують збирати та відправляти дані, залишаючись непоміченими користувачами.