Pewien właściciel odkurzacza iLife A11, podpisujący się pseudonimem Harishankar, postanowił z czystej ciekawości mu się przyjrzeć, monitorując jego ruch sieciowy. Odkrył przy tym, że jego urządzenie ciągle wysyła logi i dane telemetryczne do producenta. Tu warto podkreślić, że wcale to nie oznacza, że odkurzacz śledzi domowników: dane te mogą być istotne dla rozwijania systemów sterowania odkurzaczami i ich oprogramowania. Nie oznacza to jednak, że w ten sposób nie można niczego się dowiedzieć o nas, lub o naszym domu.

Dalsza część tekstu pod wideo

Zablokowali mu odkurzacz

Właściciel urządzenia uznał, że taki stan rzeczy mu się nie podoba i zablokował adresy IP serwerów telemetrycznych odkurzacza w swojej sieci domowej, pozostawiając otwartymi dostęp do oprogramowania sprzętowego i aktualizacji OTA. Po tym procesie odkurzacz działał poprawnie. Jednak po kilku dniach przestał się uruchamiać. 

Advertisement

Jak nietrudno się domyślić mężczyzna nie odpuścił i postanowił oddać odkurzacz do serwisu. Tam odkurzacz był przywracany do życia, działał przez kilka dni i znowu był zdalnie wyłączany. Proces ten został powtórzony kilkukrotnie. 

Przejęcie kontroli nad odkurzaczem

Po tym, jak serwis przestał przyjmować odkurzacz w ramach gwarancji, mężczyzna postanowił rozebrać urządzenie, napisać skrypt w Pythonie do sterowania nim, oraz podłączył Raspberry Pi do procesora i mikrokontrolera odkurzacza w ten sposób zamieniając go w zdalnie sterowany pojazd sprzątający. Potem jednak ciekawość jeszcze raz popchnęła go znacznie dalej.

Harishankar przyjrzał się także samemu systemowi operacyjnemu urządzenia. Przeglądając logi, odkrył w nim, że odkurzacz wysyłał na serwery skan LiDAR jego mieszkania i inne dane, które nie były zabezpieczone. Dodatkowo zauważył, że jedno z przesyłanych z zewnątrz poleceń pokrywa się z datą kiedy odkurzacz ulegał awarii. W ten sposób ustalił, że to producent go zdalnie odłączał i to w sposób aktywny. W serwisie rozwiązywano ten problem za pomocą przywracania oprogramowania układowego, co kasowało także logi.

Mężczyzna z nowo zdobytą wiedzą odłączył możliwość przesyłania poleceń z zewnątrz do odkurzacza i może teraz cieszyć się sprzętem, który sprząta mu dom, a jednocześnie go nie śledzi.