W domach mamy coraz więcej inteligentnych gadżetów. W przeważającej mierze są to świetne urządzenia, które pomagają nam w codziennych porządkach i oszczędzają nasz czas. Warto sprawdzić jakie dane o nas zbierają i do czego oraz przez kogo te dane są wykorzystywane.
Problem ten dotyczy nie tylko smartfonów, tabletów czy nawet kamer podłączonych do sieci, ale pozornie prostych urządzeń takich jak roboty sprzątające. Każdy tego typu sprzęt jest wyposażony w wiele czujników, które pomagają w sprzątaniu. Bardziej zaawansowane modele potrafią nawet stworzyć dokładną mapę mieszkania
Wszystkie te dane nie pojawiają się jednak na ekranie smartfona za sprawą magicznej sztuczki. Są zbierane przez urządzenie sprzątające, następnie wysyłane za pomocą domowej sieci Wi-Fi na serwery producenta, skąd są pobierane przez nasz smartfon. Warto więc zastanowić się, czy są odpowiednio zabezpieczone przez całą swoją drogę – od odkurzacza przez serwer aż po nasz smartfon.
Czy mój robot jest bezpieczny?
Samodzielne sprawdzenie tego niestety nie jest łatwe, ponieważ trzeba dysponować skomplikowaną wiedzą techniczną. Nad tym zagadnieniem pochyliła się organizacja AV-Test, która zajmuje się tematyką bezpieczeństwa i tworzy jeden z najlepszych rankingów antywirusów na świecie. Pracujący w niej eksperci sprawdzili kilka marek robotów dostępnych na rynku.
Niestety badanie było robione głównie z myślą o rynku amerykańskim, więc znalazły się w nim nieistotne z polskiego punktu widzenia marki takie jak Vorwerk oraz Dyson. Produkty tej ostatniej firmy są co prawda dostępne w Polsce, ale nie cieszą się dużą popularnością. Dla nas najbardziej istotne jednak jest, że w zestawieniu znalazły się dwie marki robotów, które są bardzo popularne nad Wisłą, czyli: iRobot oraz Xiaomi.
Najlepiej w zestawieniu wypadły sprzęty Vorwerka oraz iRobota. Połączenie między robotem Roomba oraz aplikacją jest zabezpieczone za pomocą protokołu TLS 1.2, dzięki czemu jest całkowicie bezpieczne. Dotyczy to zarówno komunikacji na drodze odkurzacz – serwer, jak też serwer – aplikacja. W przypadku Xiaomi wygląda to znacznie gorzej, ponieważ odkurzacz Roborock korzysta z częściowo niezabezpieczonego połączenia UDP, co umożliwia dokonanie włamania.
Istotna jest też aplikacja
Problem jest tym bardziej poważny, że Xiaomi korzysta z centralnej aplikacji, która służy do obsługi ogromnej liczby sprzętów Smart Home, takich jak chociażby kamery monitoringu oraz system alarmowy. Oznacza to, że wyjątkowo zdolny cyberprzestępca mógłby szpiegować wszystkich domowników, a w skrajnych przypadkach nawet wywoływać sztuczne alarmy, bo wypłoszyć ich z domu. iRobot z kolei stosuje wyłącznie aplikację sterującą robotem sprzątającym oraz mopem, co daje cyberprzestępcom dosyć małe pole do popisu. Ich największą zbrodnią mogłoby być… rozładowanie cudzego odkurzacza, a to też nie jest takie proste.
Sama aplikacja od Xiaomi jest o tyle problematyczna, że prosi ona użytkownika o dużą liczbę uprawnień. Do tego ma mnóstwo modułów firm trzecich, które łączą się z usługami takimi jak Facebook, Alibaba, Alipay oraz Airbnb. Testy wykazały również, że aplikacja przesadnie nie chroni wrażliwych danych użytkowników, które znajdują się w niezabezpieczonej formie bezpośrednio na smartfonie, w folderze aplikacji Xiaomi.
Co to oznacza w praktyce?
Jeżeli ktoś będzie chciał włamać się do Roomby, będzie to o wiele trudniejsze, niż w przypadku robota Xiaomi. Na pocieszenie mogę dodać, że w tym celu cyberprzestępca będzie musiał skorzystać z naszej domowej sieci Wi-Fi, więc będzie musiał znajdować się w okolicy naszego domu lub mieszkania, co powinno teoretycznie ułatwić jego złapanie.
Kaspersky zresztą jakiś czas temu dokładnie opisywał scenariusz takiego ataku na podstawie starszego modelu Xiaomi Mi Robot, do którego udało się wgrać zmodyfikowany firmware z zewnętrznego serwera. Taka podmiana oprogramowania mogłaby sprawić, że robot będzie faktycznie nas szpiegować.
Jednak do szpiegowania niekiedy dochodzi i bez hakowania, czego dowodem jest partnerstwo zawarte między Xiaomi oraz IKEA. Szwedzki producent mebli otrzymuje dane zbierane przez robota Xiaomi (w tym mapy), które mogą służyć m.in. do sprawniejszego targetowania reklam mebli. Nie wiemy, czy faktycznie tak się dzieje, ale trzeba przyznać, że wysyłanie danych do IKEA nie jest raczej funkcją potrzebną do działania robota. I chociażby to powinno dać nam do myślenia i zmusić do zastanowienia się, czy w pełni dbamy swoją prywatność. Także kupując sprzęty domowe.
Czy odkurzacz szpieguje?
Obecnie jest to stwierdzenie trochę na wyrost, ale z czasem może się stawać coraz bardziej realne. Gdy Internet rzeczy stanie się faktem, a urządzenia znajdujące się w naszym domu będą stawać się z każdym miesiącem i rokiem mądrzejsze, takie prawdopodobieństwo rzeczywiście wystąpi. Warto mieć tę myśl z tyłu głowy podczas kupowania nie tylko robota sprzątającego, ale dowolnego inteligentnego sprzętu domowego. Niektórzy mówią, że w dzisiejszych czasach przed szpiegowaniem nie da się uchronić. Może i jest to prawda, ale na pewno nie należy go ułatwiać wybierając sprzęt lub ekosystem, który zdaniem ekspertów jest po prostu dziurawy. Tak samo jak nie warto korzystać z komputera pozbawionego antywirusa.