Pozvali byste někoho cizího na návštěvu bytu a sdělili mu své heslo od wi-fi? Samozřejmě, že ne, taková míra důvěrnosti patří jen tomu nejužšímu kruhu rodiny a přátel. Ale možná máte právě v této chvíli dům nebo byt plný nezvaných návštěvníků, o jejichž úmyslech se můžete jen dohadovat. Je to bezpečnostní riziko, o kterém se moc nemluví – každé chytré zařízení vyžaduje připojení k síti, ale už se moc nechlubí tím, jaká data sbírá, kam je posílá a jak s nimi bude naloženo.
Obvykle to řeší jen nadšenci do technologií nebo programátoři, jako je Harishankar Narayanan (github.io). Ten si při sledování síťového provozu všiml, že jeho chytrý vysavač iLife A11 neustále komunikuje se servery v Číně, kam odesílá tzv. telemetrická data. Vzhledem k tomu, že k ničemu takovému nedal při nastavování vysavače souhlas, nastavil na svém firewallu blokaci těchto adres, ponechal jen tu, odkud si vysvač stahoval aktualizace.
Tím by celý příběh mohl skončit, ale tady to teprve začne být zajímavé. Po pár dnech vysavač odmítal fungovat, a tak putoval do servisu. Tam došlo k obligátnímu přehrání firmware, ale po pár dnech se celá situace opakovala. Další reklamace už servis odmítal uznat a tak se z vysavače s cenovkou kolem pěti tisíc korun stal vhodný nástroj k experimentování.
Nebudeme zabíhat do technických podrobností, jen zdůrazníme hlavní body nálezu: firmware vysavače byl zcela nezabezpečený, díky čemuž se Narayanan dostal do jeho rozhraní a mohl si prohlédnout, jaká data vysavač odesílal. A bylo to mnohem více než jen obyčejná telemetrie, tedy základní údaje o jeho fungování. Na servery v Číně mířila celá 3D mapa bytu. Ještě bizarnější bylo, že pokud se tak několik dní nestane, funkce vysavače se zablokují zcela záměrně.
A nejděsivější je, že nešlo o chybu nebo záměr nějakého neznámého výrobce. Stejnou hardwarovou platformu používají významné společnosti jako Xiaomi, Wyze, Viomi, Cecotec a Proscenic, a může se tak týkat až miliónů přístrojů v našich domácnostech. Narayanan nakonec přístroj přeprogramoval a přinutil ho pracovat v offline režimu. Pro ty, kteří takové možnosti nemají, připomíná alespoň základní pravidla bezpečnosti, jako je provozování chytrých zařízení v oddělené síti.
