Инженер заинтересовался работой своего умного пылесоса iLife A11 и решил проследить за сетью, к которой он подключался. Именно тогда было обнаружено, что устройство постоянно отправляет журналы событий и телеметрические данные производителю — без какого-либо согласия пользователя. Владелец, известный под именем Харишанкар, заблокировал IP-адреса серверов, принимавших телеметрию, оставив открытыми только адреса для обновления прошивки и OTA-сервисов. Пылесос некоторое время работал, но со временем перестал включаться. После длительного расследования выяснилось, что на устройство была отправлена удаленная команда выключения.
Прибор неоднократно отправляли в сервисный центр, где техники без проблем запускали его, не обнаруживая никаких неисправностей. Однако по возвращении домой устройство несколько дней работало, а затем снова переставало включаться. После нескольких таких попыток сервисный центр отказался принимать устройство, сославшись на завершение гарантийного срока. Из-за этого владелец решил разобрать устройство, чтобы выяснить причину сбоя и попытаться восстановить его работу.
Пылесос iLife A11, как умное устройство, содержал систему-на-чипе AllWinner A33 с операционной системой TinaLinux и микроконтроллер GD32F103, который управлял многочисленными датчиками: Lidar, гироскопами и энкодерами. Чтобы проверить компоненты, инженер создал соединения с печатными платами и написал скрипты на Python для управления ими с компьютера. Он также собрал джойстик на базе Raspberry Pi, чтобы вручную управлять пылесосом, чем доказал, что аппаратная часть работает исправно.
Далее внимание было сосредоточено на программном обеспечении и операционной системе, где обнаружилась неприятная правда: устройство представляло собой серьезную угрозу безопасности и неконтролируемый канал сбора персональных данных. Подключение Android Debug Bridge, обеспечивающее полный root-доступ к системе пылесоса, не было защищено никаким паролем или шифрованием. Производитель лишь частично скрыл эту уязвимость, удалив один из важных системных файлов, из-за чего соединение разорвалось после запуска, но эту защиту легко обойти. Также было установлено, что устройство использовало библиотеку Google Cartographer для построения живой трехмерной карты помещения.
Подобный механизм не является чем-то необычным для умных пылесосов, ведь им нужно ориентироваться в пространстве. Однако тревожно то, что вся эта информация отправлялась на серверы производителя без явного согласия пользователя. Такое решение могло быть оправдано из-за ограниченных вычислительных возможностей устройства, которое не могло самостоятельно обрабатывать большие объемы данных. В то же время никакого объяснения или подтверждения со стороны компании о передаче таких данных пользователи не получали.
Наиболее показательным проявлением проблемы стала находка в журналах событий пылесоса — команда с меткой времени, точно совпадавшей с моментом, когда устройство прекратило работать. Это была команда «kill», после обратного анализа которой устройство удалось снова запустить. Причина, по которой пылесос работал в сервисном центре, но не дома, заключалась в том, что технические специалисты сбрасывали прошивку, удаляя код блокировки, и подключали его к открытой сети. По возвращении домой устройство снова подключалось к сети с заблокированными телеметрическими серверами и немедленно «обезвреживалось» удаленно из-за отсутствия связи с производителем. Другими словами, при блокировке передачи данных устройство просто переставало функционировать.
«Кто — то-или что-то-удаленно отправил команду выключения», — отметил Харишанкар. «Будь то преднамеренное наказание или автоматическое обеспечение “соблюдения правил”, результат один: потребительское устройство обернулось против владельца».
Предположительно, многие другие бренды умных пылесосов используют аналогичное оборудование и имеют аналогичные схемы работы. Это особенно верно для более дешевых моделей с ограниченными вычислительными возможностями, которые передают все данные на удаленные серверы для обработки. Однако в таком случае пользователь фактически теряет контроль над собственной информацией, позволяя производителю распоряжаться ею по своему усмотрению.
После многочисленных технических изменений владельцу удалось заставить пылесос работать полностью автономно, без контроля производителя. Это позволило восстановить работоспособность устройства и вернуть контроль над собственными данными. Для пользователей, не имеющих достаточного технического опыта, он сформулировал простой совет: «никогда не подключайте IoT-устройства к основной Wi-Fi-сети» и «воспринимайте их как посторонних в собственном доме».
