Šio prekės ženklo robotas siurblys slapta sudarinėjo kliento namų žemėlapį

Galvojate, kad jūsų telefonas jus šnipinėja? Galbūt iš tikrųjų turėtumėte nerimauti dėl savo dulkių siurblio. Kompiuterių programuotojas ir elektronikos entuziastas Harishankaras Narayananas padarė stulbinantį atradimą: jo 300 JAV dolerių vertės išmanusis dulkių siurblys slapta siuntė detalius duomenis apie jo namus į nuotolinius serverius. Tai atskleidė pavojingą realybę – net kasdieniai prietaisai gali tapti „šnipais“ mūsų namuose.

Kaip siurblys „slapta bendravo“

Kaip tinklaraščio įraše rašė pats H. Narayananas, jis leido savo „iLife A11“ išmaniajam dulkių siurbliui – populiariam įrenginiui, apie kurį rašė ir didžioji žiniasklaida – „ramiai“ veikti maždaug metus. 

Po kurio laiko jis susidomėjo prietaiso vidine veikla ir nusprendė stebėti jo tinklo srautą, kaip tai daro su bet kuriuo išmaniuoju įrenginiu. 

Vos per kelias minutes H. Narayananas pastebėjo nuolatinį duomenų srautą, siunčiamą į serverius už pusės pasaulio. 

Paaiškėjo, kad dulkių siurblys nuolat bendravo su gamintoju, siųsdamas telemetrijos duomenis, kuriais savininkas niekada nesutiko dalintis.

Norėdamas sustabdyti šį duomenų nutekėjimą, H. Narayananas išjungė prietaiso siuntimo funkciją, tačiau paliko kitą tinklo veiklą, pavyzdžiui, programinės įrangos atnaujinimus. Siurblys dar kelias dienas veikė įprastai, kol vieną rytą tiesiog atsisakė įsijungti.

Jis išsiuntė įrenginį taisymui, o serviso centras tikino, kad prietaisas pas juos veikia puikiai. Susigrąžintas siurblys stebuklingai vėl veikė kelias dienas, tačiau pot to sugedo. 

Šį procesą H. Narayananas kartojo kelis kartus, kol galiausiai serviso centras atsisakė priimti įrenginį, paaiškinęs, kad jis nebėra garantinis. Taip 300 JAV dolerių vertės išmanusis dulkių siurblys virto paprastu neveikiančiu daiktu, tinkamu nebent popieriaus laikymui.

Įspėja apie pavojus

Tačiau H. Narayananas nusprendė ieškoti atsakymų – jis pabandė išardyti dulkių siurblį. 

Po sudėtingo atvirkštinio inžinerijos proceso, kuris apėmė įrenginio plokščių perdarymą ir jutiklių testavimą, jis aptiko šiurpią detalę: „Android Debug Bridge“ – programa, skirta diegti ir derinti programas įrenginiuose – buvo visiškai atvira bet kam. Vos per kelias sekundes jis įgijo pilną prieigą prie sistemos be jokių įsilaužimų ar išnaudojimų.

Bandymų ir klaidų metu H. Narayananas sugebėjo prisijungti prie siurblio iš savo kompiuterio. Tuomet jis rado dar didesnę staigmeną: įrenginys veikė naudodamas „Google Cartographer“ – atvirojo kodo programą, skirtą 3D namų žemėlapiams kurti, o surinktus duomenis siuntė tiesiai gamintojui.

Be to, jis aptiko įtartiną kodo eilutę, išsiųstą įrenginiui tuo pačiu metu, kai siurblys nustojo veikti – tarsi nuotoliniu būdu jam būtų įsakyta sustoti. H. Narayananas pakeitė scenarijų, perkrovė įrenginį ir jis iškart vėl pradėjo veikti. Paaiškėjo, kad gamintojas ne tik įdiegė nuotolinio valdymo funkciją, bet ir panaudojo ją tam, kad visam laikui išjungtų prietaisą, kai šis blokavo duomenų siuntimą.

H. Narayananas įspėja, kad dešimtys išmaniųjų dulkių siurblių greičiausiai veikia pagal panašią schemą. Mūsų namai pilni kamerų, mikrofonų ir jutiklių, prijungtų prie įmonių, apie kurias beveik nieko nežinome – ir visa tai gali būti paversta ginklu vos viena kodo eilute. Šis atvejis primena, kad technologijos dažnai turi paslėptą „kainą“, kuri nesibaigia sumokėjus už prekę.