Гаджети КНР стають все більш підступними: Програміст з'ясував, що його серійний робот-пилосос зливає заборонені дані виробнику, а після усуненні шпигунської функції отримав команду на самоліквідацію

В блозі Small World (через Future) Харішанкар Нараянан розповідає, що користувався гаджетом близько року, перш ніж вирішив розібрати, як працює його внутрішня система, передають Патріоти України.

“Я трохи параноїк, в хорошому сенсі слова. Тож вирішив проконтролювати мережевий трафік, як раніше робив з іншими розумними пристроями”.

За лічені хвилини програміст виявив “постійний потік даних”, який надсилався на сервери на іншому кінці світу — тобто в Китаї, де базується виробник iLife A11.

“Мій робот-пилосос постійно зв’язувався з виробником, передавав журнали й телеметрію, якими я ніколи не погоджувався ділитись“, — пише Нараянан. “Саме тоді я зробив свою першу помилку — вирішив його зупинити”.

Після зупинки передачі даних пилосос пропрацював пару днів і зупинився. У сервісі інженеру сказали, що пристрій робочий і відправили додому. Однак після кількох прибирань ситуація повторилась. Зрештою ремонтники відмовились лагодити розумний пилосос, бо раптово скінчилась гарантія.

“Ось так мій розумний пилосос за $300 перетворився на звичайне преспап’є”.

Однак чоловік вирішив йти до кінця і провів реверс-інжиніринг пристрою, який включав передрук плат та тестування датчика. Виявилось ще “дещо жахливе” — програма Android Debug Bridge, призначена для встановлення та налагодження програм на пристроях, була “широко відкрита” для світу.

“За лічені секунди я отримав повний root-доступ. Жодних зломів, жодних експлойтів. Просто під’єднай і працюй”, — додав Нараянан.

Зрештою чоловік зміг під’єднатися до пилососа зі свого комп’ютера, де побачив, що пристрій працював під керуванням Google Cartographer — програми з відкритим кодом, яка створювала 3D-карти його будинку і надсилала в Китай. До того ж Нараянан виявив “підозрілий” рядок коду з міткою часу, який компанія надіслала пилососу точно тоді, коли він перестав працювати.

“Хтось — або щось — дистанційно видав команду kill”, — пише програміст. “Я скасував зміну скрипта та перезавантажив пристрій. Він миттєво ожив”.

Нараянан попереджає, що “десятки розумних пристроїв”, ймовірно, працюють на подібних системах.