- Умный пылесос iLife A11 постоянно передавал подробную 3D-карту дома и телеметрию китайскому производителю без согласия владельца.
- Попытка отключить передачу данных привела к удалённому отключению устройства и отказу в ремонте по гарантии.
- Исследование показало открытую Android Debug Bridge с возможностью получить полный root-доступ и управление устройством издалека.
Программист и энтузиаст электроники Харишанкар Нараянан опубликовал результаты собственного расследования, раскрывающего риски использования умных бытовых устройств на примере робота-пылесоса iLife A11 стоимостью около 300 долларов. При внимательном мониторинге сетевого трафика он обнаружил, что пылесос непрерывно отправлял детализированные данные со встроенного сканера помещений — 3D-карту его квартиры — и другую телеметрию китайскому производителю, чему он никогда не давал согласия.
После того как Нараянан попытался ограничить передачу этих данных, пылесос перестал загружаться. Сервисный центр время от времени ремонтировал устройство, но в конечном итоге отказался от гарантийного ремонта, фактически превратив девайс в «пресс-папье». Более того, инженер обнаружил, что устройство имеет открытую Android Debug Bridge (ADB) — стандартный инструмент для отладки, но оставленный без пароля и защиты, что позволило получить полный root-доступ к системе без применения взломов или уязвимостей.
Исследуя внутреннее программное обеспечение, Нараянан выяснил, что на пылесосе работает приложение Google Cartographer с открытым исходным кодом. Это приложение создает детальные трехмерные карты помещений и передает их на сервер производителя. Особенно тревожным фактом стало обнаружение строки кода с меткой времени, совпадающей с моментом отключения пылесоса, что свидетельствует о том, что производитель дистанционно управляет устройством, в том числе имеет возможность окончательно вывести его из строя.
Автор предупреждает, что подобная практика, вероятно, распространена среди умных бытовых приборов, которые собирают и передают конфиденциальные данные пользователей. Он обращает внимание на серьезные риски для приватности, поскольку дома наполняются гаджетами с микрофонами, камерами и различными сенсорами, контролируемыми далеко не всегда прозрачно работающими компаниями.
В дополнение к расследованию Нараянан запустил проект VacuumRobot на GitHub, посвящённый созданию и модификации робота-пылесоса на базе компонентов модели 3iRobotix CRL-200S с открытыми интерфейсами и возможностью автономного управления уборкой и картографированием помещений. Разработчик намерен создать безопасную альтернативу закрытым системам, обеспечивающую пользователю полный контроль за устройством.
