Kiderült egy okosporszívóról, hogy tökegyszerű kukkolásra használni

A seprő bezzeg nem kémkedett utánunk.

A csodálatos 21. századunkban minden eszközünk máshogy kémkedik utánunk. A Google többet tud rólunk, mint az anyánk; nem azt a képet látja, amit mutatni akarunk, hanem azt, ami az adatainkból, kereséseinkből, levelezésünkből összeáll. A héten mégis volt egy olyan kémkedős botrány, amire nem nagyon számított senki.

Egy kínai robotporszívóról, a költői nevű Dongguan Diqee 360-ról derült ki, hogy a tájékozódásra beépített kameráját megfigyelésre is át lehet állítani. A hibát a Positive Technologies két kutatója találta meg és tette közzé.

A kínai okosotthon-kiegészítőket gyártó Diqee eszközeiről eddig is lehetett tudni, hogy a kameráik megfigyelő üzemmódban is működtethetők. Az eszköz honlapján több kép teszi egyértelművé, hogy a kamera pluszfunkciókat lát el, legyen szó éjszakai megfigyelésről, a tolvajok lebuktatásáról vagy két női láb lefotózásáról. Utóbbi legalábbis furcsa, de a Diqee nem hagyta ki a lehetőséget, hogy egy ilyen fotót is megosszon.

A gyártó arra is gondolt, hogy nem mindenki vágyik állandó megfigyelésre. Az eszközhöz jár egy, a kamera elé pattintható fedő, ami egyszerűen letakarja a lencsét.

false

 

Fotó: Diqee

Újdonságértéke annak van, hogy nemcsak a tulajdonos nézhet át a kamerán, hanem egy szoftverhiba miatt lényegében mindenki. A sikeres támadáshoz csak a robot hálózati kártyájának fizikai címét kell megszerezni. Ez azonban nem bonyolult dolog, például a router biztosan tudja ezt az adatot.

És ezek az eszközök sem a biztonságukról híresek.

Amennyiben a fizikai cím megvan, úgy a támadó átveheti az uralmat a porszívó felett, és máris van egy 360 fokban látó kamerája, ami odagurul a lakásban, ahová küldi. A kutatók szerint gyanús, hogy a Diqee-termékek közül még több is érintett lehet. Ezt azonban még nem ellenőrizték. A gyanúra az ad okot, hogy az eszköz videós alrendszerében található a sebezhetőség, az ilyen modulok pedig jellemzően több termékben azonosak. A kutatók találtak egy másik, enyhébb sebezhetőséget is, amelynek a kihasználásához azonban hozzá kell férni a porszívó SD-kártyájához.

A hírre lehetne az a válasz, hogy az olcsóbb kínai eszköz helyett a magasabb kategóriába tartozó amerikai terméket kell megvásárolni. Tavaly nyáron azonban kiderült, hogy a robotporszívó-kategóriát megteremtő iRobotról, hogy éppen azt fontolgatják, hogy a készülékeik által gyűjtött lakásalaprajzokat megosztják bárkivel, aki hajlandó fizetni érte. A lehetőségre először a cég adatvédelmi nyilatkozatában figyeltek fel, de újságírói kérdésre a cég vezetője, Colin Angle is szívesen beszélt arról, hogy az iRobot porszívói által gyűjtött adatokat milyen módon lehet még értékesíteni. A forgatókönyv bekövetkeztét az is valószínűbbé tette, hogy a nyilatkozatra pozitívan reagált a tőzsde.

Nem minden robot annyira okos, hogy térképet készít a lakásról. Legalább ennyire hatékony megközelítés az is, ha véletlenszerű pályán indítjuk el az eszközt, és megvárjuk, amíg statisztikai alapon mindenhová eljut. Ha ez a stratégia, akkor kamera sem kell az eszközbe. Ha pedig nem is távirányítható a robot wifin vagy hanggal, akkor ezeket az elemeket is ki lehet hagyni. A végén egy egészen biztonságos eszközt kapunk, ami alig okosabb a seprőnél, de legalább kém sem lesz belőle.

És levonhatjuk a következtetést, hogy az a legbiztonságosabb okos eszköz, ami valójában ostoba.

false

 

Fotó: Eirik Newth CC-BY

Figyelmébe ajánljuk