понедельник, 25 июня 2018 г.

Ужасы умного дома

Фантазии разработчиков систем умного дома обычно рисуют нам идеальную картину: дверь автоматически откроется перед вами, узнав ваше лицо, свет и любимая музыка включатся сами, температура в помещении будет идеальной, чай заварен, тосты и яичница готовы, нужно только сказать, чего ещё вам ещё хочется. Может быть, вместо музыки включить сериал или кино? Не имеет значения, дома вы или нет — вы можете удалённо следить за происходящим и отдавать команды любым приборам и общаться с родными людьми, как если бы вы находились рядом с ними.

В реальности всё получается совсем иначе, и чем сложнее и навороченнее система, тем больше проблем она приносит. Журналисты Gizmodo Кашмир Хилл и Сурия Матту рассказали, каково это — жить в доме, напичканном умной электроникой.

Кашмир купила умную колонку Amazon Echo, а также подключила к интернету и облачным сервисам огромное количество приборов и предметов: телевизор, зубную щётку, кофеварку, осветительные приборы, камеру для слежения за ребёнком, детские игрушки, фоторамку, вибратор и даже кровать. Муж Кашмир не понял, зачем нужно следить за кроватью, но девушка пояснила, что специальная система будет измерять их сердечный пульс, частоту дыхания, подсчитывать, сколько раз за ночь они повернулись с одного бока на другой и каждое утро перед ними будет подробный отчёт обо всём этом. Скоро Кашмир поняла, что хуже ночных кошмаров может быть только ощущение того, что она спит не так, как нужно, не достигает установленной цели и рискует утром получить отчёт о том, что она опять что-то делает неправильно.

Кашмир могла когда угодно подключиться к камерам и посмотреть, что творится во всех комнатах, могла разговаривать с ребёнком через игрушку и включать любую музыку. Она получала напоминания почистить зубы и рекомендации, как сделать это лучше всего. Если ночью становилось холодно, кровать могла согреть её. Пропала необходимость ходить по квартире с пылесосом — уборкой занимался робот-пылесос, который запускался нажатием кнопки на смартфоне. Для управления всеми устройствами Кашмир пришлось установить 14 приложений и создать отдельные учётные записи для каждого из них. Естественно, ни одно приложение не взаимодействовало с другими и отдавать им команды через ассистента Alexa в колонке Amazon Echo не получилось.
Интернет вещей автоматизировал выполнение многих задач, но в ответ ему оказались нужны подробные данные о пользователе и других людях, проживающих в квартире. Эти данные каким-то образом передавались производителям и где-то хранились, а значит, возможна их утечка.

Кашмир знала, к кому попадёт эта информация — к её коллеге Сурии, который перехватывал данные от всех её устройств. Его задачей было выяснить, могут ли хакеры узнать о привычках семьи и выудить какие-то чувствительные подробности, которые можно использовать во вред.

Сурия настроил перехватчик с помощью роутера и компьютера Raspberry Pi и открыл точку доступа, к которой Кашмир подключила устройства умного дома. Компьютер фиксировал, когда гаджеты обращаются к серверам производителей, и анализировал эту информацию. Данные отправлялись куда-то всё время, даже в те часы, когда дома никого не было.

Спустя несколько недель собранных данных накопилось столько, что Сурия мог сказать, когда в квартире Кашмир был включен или выключен свет. И даже если он был выключен, по активности приборов можно было определить, находится ли кто-нибудь дома или нет. Данные от видеокамер были зашифрованы, и этот трафик оказался бесполезным — посмотреть видео, не зная ключи дешифровки, невозможно. Впрочем, далеко не все устройства шифруют трафик, поэтому Сурия, например, мог сказать, какой фильм включила Кашмир на своём телевизоре и в каком приложении. Даже если поток зашифрован, по метаданным можно было узнать подробности. Так Сурия выяснил, что Кашмир каждый день с 6 до 8 утра слушает музыку в сервисе Spotify, хотя и неизвестно, какую именно. В промежутке между 6 и 8 вечера она включала приложение Alexa Sounds, которое воспроизводит звуки дождя, океана и камина, а значит, в это время она укладывает спать своего ребёнка.

У Сурии получилось составить графики активности различных устройств, приборов и сервисов, что позволило ему получить представление о том, чем Кашмир занималась в любой заданный день. Если такой анализ может сделать один человек, очевидно, что он под силу компании, которая выпускает устройства и продаёт их десяткам тысяч людей. Конечно, производителям вряд ли есть дело до интересов и привычек отдельных пользователей, но собранная статистика позволит им менять предназначение устройств. Если компания выяснит, что какая-то функция не пользуется популярностью, она может быть отключена с обновлением прошивки. Возможна и иная ситуация — с апдейтом на гаджет может прилететь неожиданная фича, потенциальную востребованность которой решил оценить производитель.

Об опасности использования централизованных систем умного дома на выставке MWC в Барселоне рассказывали специалисты «Лаборатории Касперского». По словам эксперта Владимир Дащенко, хакерам достаточно получить доступ к контроллеру, который управляет всеми приборами. Сделать это можно без физического доступа к оборудованию — используя уязвимости в роутерах, операционных системах и протоколах обмена данными. Последствия такого взлома могут быть какими угодно. Злоумышленник может просто заставить систему перестать узнавать своего владельца, заблокировав её работу, но также может сильно навредить — например, включить все приборы на полную мощность, что вызовет перегрузку электросети и, в самом худшем случае, пожар, разрушение жилища и гибель людей.
https://gizmodo.com/the-house-that-spied-on-me-1822429852
Александр Кузнецов

Комментариев нет:

Отправить комментарий