Инженер рассказал, что его пылесос следил за ним. Оказалось, что это не паранойя

Ваш робот-пылесос может следить за вами. Эту параноидальную мысль, подтверждённую реальной историей, рассказал пользователь GitHub, скрывающийся под ником Harishankar.

Год пылесос работал без проблем. Спустя это время инженерное любопытство Harishankar взяло вверх, и он поинтересовался, как вообще происходит весь процесс уборки. И запустил наблюдение сетевого трафика.

Как выяснилось, робот-пылесос постоянно отправлял журналы и телеметрические данные производителю на другой конец света. А согласие на это пользователь не давал. Поэтому Harishankar просто заблокировал айпишник пылесоса для регистрации данных. Через несколько дней после этого робот встал и больше не двигался.

В сервисном центре проблему исправили: робот вернулся домой и продолжил работать. Но всего пару дней.

В итоге инженер разобрал устройство. Оно работало на чипе SoC AllWinner A33 под управлением Tina Linux — специальной версии Linux, разработанной для подобных гаджетов.

Оказалось, что Android Debug Bridge (ADB) пылесоса не был защищён вообще никакими паролями. Даже простейшей парой admin/admin. Поэтому получить root-доступ не составляло никаких сложностей.

Робот также составлял трёхмерную карту помещений в профессиональной системе Google Cartographer, используемой для автономного картографирования и робототехники.

А ещё производитель имел полный удалённый root-доступ к устройству, позволяя удалённо выполнять на нём любые команды и скрипты. С учётом того, что система никак не защищена, эти команды мог запускать кто угодно.

Для кого-то отправляемая информация может показаться несущественной. Но ведь есть пылесосы, которые, помимо лидаров, используют и обычные камеры. А мы никак не стесняемся этих устройств дома.