Indický programátor Harishankar Narayanan objavil, že jeho inteligentný vysávač značky iLife A11, ktorý používal takmer rok bez problémov, tajne odosielal údaje do Číny. Spočiatku si nič nevšimol, no postupne si všimol neustálu komunikáciu zariadenia s neznámymi servermi. Uvedomil si, že stroj posielal dáta bez jeho súhlasu, vrátane citlivých informácií o domácnosti a Wi-Fi hesla.
Keď sa Narayanan rozhodol pripojenie zablokovať, vysávač sa spočiatku správal normálne. Čistiaci režim fungoval a príkazy cez aplikáciu boli vykonávané. O niekoľko dní však prestal reagovať úplne. Nepomohlo nabíjanie ani snaha ho ovládať aplikáciou. Servis mu tvrdil, že je všetko v poriadku, a zariadenie po návrate fungovalo len na pár dní. Tento cyklus sa opakoval niekoľkokrát, až kým nevypršala záruka, opísal na svojom blogu Small World.
Inžinier rozobral celé zariadenie, vystopoval všetky komponenty a dokonca si postavil vlastný nový riadiaci systém, aby pochopil, ako funguje. Objavil otvorený Android Debug Bridge bez overenia. Zariadenie bežalo na Linuxe – v podstate išlo o plnohodnotný počítač s kamerou a ďalšími senzormi. Narayanan získal root prístup po použití niekoľkých hackov na obídenie ochranných opatrení dodávateľa. Pri skúmaní systému zistil, že prístup doňho je úplne otvorený, bez akéhokoľvek hesla či overenia.
Okamžite narazil na šokujúce zistenia. Vysávač odosielal výrobcom nielen technické dáta, ale aj nešifrované Wi-Fi heslo jeho domácnosti. Zariadenie navyše vytváralo detailnú mapu bytu pomocou laserového senzora, čo malo slúžiť na efektívnejšie upratovanie. Tieto „smart mapy“ však putovali spolu s ďalšími údajmi do Číny.
Ešte väčším prekvapením bolo, že Narayanan objavil zmenený systémový súbor, ktorý bránil vysávaču zapnúť sa. V protokole bol záznam, že sa k zariadeniu niekto pripojil na diaľku a vydal príkaz na jeho vypnutie – presne v čase, keď vysávač prestal fungovať. Program umožňoval výrobcom meniť nastavenia zariadenia, nahrávať súbory alebo ho úplne vypnúť.
„V servisnom stredisku zariadenie preprogramovali a pripojili k otvorenej sieti. Znova sa pripojilo k materskej lodi a bolo na diaľku „oživené“. Keď sa však vrátilo k môjmu firewallu, opäť sa zablokovalo. Nebola to náhoda, bola to kontrola,“ píše sa v blogovom príspevku.
Podľa odborníkov z portálu Cybernews je tento problém vážny, najmä u lacnejších ázijských značiek, ktoré využívajú podobnú hardvérovú platformu ako iLife A11 – vrátane Xiaomi, Viomi, Cecotec či Proscenic. Hardvérovú platformu CRL-200S, použitú v tomto konkrétnom modeli, dodala pôvodná čínska spoločnosť 3irobotix. Tento hardvér a pravdepodobne aj softvér využívajú aj ďalšie „preznačené“ vysávače od značiek ako Xiaomi, Wyze, Viomi či Proscenic. Medzi príbuzné modely patria napríklad Viomi V2, Cecotec Conga 3290 alebo Proscenic M6 Pro.
Čo to znamená v praxi? Znamená to, že milióny domácností po celom svete môžu byť vystavené rovnakému riziku. To teda znamená, že milióny domácností by mohli nevedomky ukrývať špióna s kamerami, mikrofónmi, senzormi a prístupom k sieti, ktorého možno potenciálne zneužiť jediným riadkom kódu. Narayanan dnes svoj vysávač používa opäť, no úplne offline, odpojený od internetu a ovládaný len lokálne. Ako sám poznamenal, jeho zariadenie vlastne nikdy nebolo naozaj jeho.
Odborníci radia, aby majitelia inteligentných spotrebičov používali samostatnú Wi-Fi sieť, ktorá nie je prepojená s hlavnou domácou sieťou, a nikdy im nedávali prístup k hlavnému internetu. Takýmto spôsobom sa dá minimalizovať riziko, že zariadenia budú odosielať citlivé údaje mimo domácnosti.
