Умный пылесос — чудо-природы или находка для хакеров?

Через несколько недель Xiaomi выпускает новое поколение роботов-пылесосов. Robot Vacuum X10+ обладает автоматизированной док-станцией, чтобы очистить и просушить швабру. Впереди видеокамера — вдруг робот будет пылесосить помещения, а на пути попадется препятствие. Умная система даже способна определить, где заканчивается ковер. Уже захотелось приобрести такую супер-машину? Смущают только странные рассказы о хакерах, которые умудрялись взламывать умные пылесосы… А дело вот в чем.

Как подслушать чужой разговор… через пылесос?

В 2017 году в результате исследования сотен тысяч пылесосов-роботов удалось выяснить, что практически каждый бытовой прибор можно взломать. Но только если приложение, через который управляют роботом, содержит уязвимости. После взлома хакеры смогут следить за домом пользователя и даже отправлять команды устройству. К счастью, производители пылесосов сразу выпустили патчи.

В 2019 году другие ученые обнаружили, что во многих пылесосах для взаимодействия с хозяевами умного дома используются незащищенные протоколы http. Такие стандарты несложно взломать. И даже более безопасные аппараты с продвинутыми функциями не застрахованы от хакеров, что уж тут говорить о смартфонах.

Но самое интересное отметили ученые, которые решили проверить защищенность устройств с помощью лазерных микрофонов. Этот девайс размещают в комнате, где должен произойти разговор. Лазерный микрофон следит за ходом беседы, оказывая волновое давление на предметы, расположенные в комнате. Лучшим местом для расположения такого предмета считаются окна, ведь эффективность работы микрофона зависит от того, насколько гладкая поверхность. 

Возвращаясь к теме смартфонов, если LiDAR работает, опираясь на волны света от лазера, значит, эта технология может использоваться и в качестве микрофона. Эта идея стала исходной точкой для проведения следующего исследования. Для начала, исследователи взломали умный пылесос, чтобы получить доступ к аппарату и понять, какие персональные данные собраны. Информацию отправили на ноутбук через подключение Wi-Fi. При этом, пользователя не уведомили, что что-то пошло не так. В комнате установили лазерные микрофоны, которые должны были наблюдать за движением пылесоса и вслушиваться в звуки. 

Да, распознать сигналы было непросто. Но когда сигналы поступали через специализированные алгоритмы глубокого обучения, различить речь людей не составило труда. Кроме того, лазерный микрофон с точностью 90% определял, что говорили голоса, звучавшие в телевизоре.

Это приводит к размышлениям о том, что когда мы пользуемся умными приборами, призванными сделать нашу жизнь комфортной, мы в то же время должны побеспокоиться о безопасности.

И все же защитить умный дом реально!

При защите умного дома будем отталкиваться от того, что хакеры взламывают самые уязвимые и незащищенные гаджеты, чтобы добраться до ценной информации. Ведь в структуре умного дома все устройства взаимосвязаны. А что касается умных пылесосов, посредством взлома можно узнать, где проживает владелец смарт-хауса - а также куда он ездит. И все это можно отследить по геолокации.

Как будем защищаться? Начнем с сети. Раз все девайсы подключаются в единую сеть, установим на роутер VPN. Защищенный туннель между устройством и сетью проводит весь трафик в супер-секретном режиме, как мы выяснили, обратившись к мануалу ExpressVPN. 

Всемирный экономический форум дает еще несколько рекомендаций. По возможности, подключайте устройства к Ethernet, вместо WiFi. Всегда меняйте название сети WiFi по умолчанию после того, как роутер появился у вас в доме. Пользуйтесь мультифакторной аутентификацией. Обновляйте устройства, устанавливайте патчи, выключайте гаджеты, когда не пользуетесь ими. И, что важно, не приобретайте дешевые устройства, в них может не быть достаточного уровня защиты. 

Кроме того, с осторожностью относитесь к облачным хранилищам, на которых собрана информация с устройств. Так как при отправке данных и загрузке требуется подключение к облачным ресурсам, хакеры могут вторгнуться в эту сеть и получить к ней доступ. Так что, пользуясь облачными приложениями, убедитесь, что все в порядке с их стандартами безопасности.