Użytkownik wyłączył wysyłanie danych do producenta, więc producent zdalnie zablokował mu odkurzacz
Nie chcę sugerować, że każdy inteligentny odkurzacz nas śledzi, sprawa jest nieco bardziej złożona.
Pewien właściciel odkurzacza iLife A11, podpisujący się pseudonimem Harishankar, postanowił z czystej ciekawości mu się przyjrzeć, monitorując jego ruch sieciowy. Odkrył przy tym, że jego urządzenie ciągle wysyła logi i dane telemetryczne do producenta. Tu warto podkreślić, że wcale to nie oznacza, że odkurzacz śledzi domowników: dane te mogą być istotne dla rozwijania systemów sterowania odkurzaczami i ich oprogramowania. Nie oznacza to jednak, że w ten sposób nie można niczego się dowiedzieć o nas, lub o naszym domu.
Zablokowali mu odkurzacz
Właściciel urządzenia uznał, że taki stan rzeczy mu się nie podoba i zablokował adresy IP serwerów telemetrycznych odkurzacza w swojej sieci domowej, pozostawiając otwartymi dostęp do oprogramowania sprzętowego i aktualizacji OTA. Po tym procesie odkurzacz działał poprawnie. Jednak po kilku dniach przestał się uruchamiać.
Jak nietrudno się domyślić mężczyzna nie odpuścił i postanowił oddać odkurzacz do serwisu. Tam odkurzacz był przywracany do życia, działał przez kilka dni i znowu był zdalnie wyłączany. Proces ten został powtórzony kilkukrotnie.
Przejęcie kontroli nad odkurzaczem
Po tym, jak serwis przestał przyjmować odkurzacz w ramach gwarancji, mężczyzna postanowił rozebrać urządzenie, napisać skrypt w Pythonie do sterowania nim, oraz podłączył Raspberry Pi do procesora i mikrokontrolera odkurzacza w ten sposób zamieniając go w zdalnie sterowany pojazd sprzątający. Potem jednak ciekawość jeszcze raz popchnęła go znacznie dalej.
Harishankar przyjrzał się także samemu systemowi operacyjnemu urządzenia. Przeglądając logi, odkrył w nim, że odkurzacz wysyłał na serwery skan LiDAR jego mieszkania i inne dane, które nie były zabezpieczone. Dodatkowo zauważył, że jedno z przesyłanych z zewnątrz poleceń pokrywa się z datą kiedy odkurzacz ulegał awarii. W ten sposób ustalił, że to producent go zdalnie odłączał i to w sposób aktywny. W serwisie rozwiązywano ten problem za pomocą przywracania oprogramowania układowego, co kasowało także logi.
Mężczyzna z nowo zdobytą wiedzą odłączył możliwość przesyłania poleceń z zewnątrz do odkurzacza i może teraz cieszyć się sprzętem, który sprząta mu dom, a jednocześnie go nie śledzi.
