Специалисты Университета Мэриленда и Национального университета Сингапура провели расследование, по результатам которого было выяснено, что роботы-пылесосы Xiaomi могут использоваться в качестве шпионского оборудования.
Эксперты отмечают, что злоумышленники, в теории, могут настроить лидары в роботах-пылесосах от известного китайского производителя так, чтобы они считывали вибрации от звуковых колебаний на поверхностях. Говоря простым языком, это позволит эксплуатировать пылесос в качестве шпионского устройства.
Дело заключается в том, что современные роботы-пылесосы, чтобы ориентироваться в пространстве помещений, применяют всевозможные программные решения и инструменты. В ряде недорогих моделей применяются лидары – это специальные сенсоры, с помощью которых определяется дальность до конкретного объекта с использованием лазерных импульсов. Специалисты на практике доказали, что лидары могут быть перенастроены так, чтобы они реагировали в том числе и на звуковые колебания.
Дополнительно отмечается, что атака такого типа может быть проведена удаленно – в тех случаях, когда робот-пылесос в процессе своей работы обменивается с облачными сервисами данными, получая оттуда инструкции и обновления. В частности, таким функционалом располагает модель Xiaomi Roborock S5.
Исследователи Университета Мэриленда, воспользовавшись результатами работы других специалистов, которые ранее взламывали устройства IoT от Xiaomi, выполнили обратную разработку применяемой в роботах-пылесосах программно-аппаратной оболочки на основе процессора ARM Cortex-M. А затем с использованием программного стэка Dustcloud получили root-доступ к пылесосу. Специалистам также удалось перехватить контроль над интерфейсом для обмена данными с облачным сервисом, что позволило им удаленно контролировать устройство.
После этого исследователи пошли еще дальше – они смогли создать вспомогательную аппаратную схему, с помощью которой встроенный в робот-пылесос лидар запускал лазер, даже при нахождении в статичном положении. Специалисты отметили, что успешное проведение кибератаки не требует аппаратных модификаций – это было сделано просто для удобства.
Проведенные с устройством Xiaomi манипуляции позволили исследователям с точностью до 91% считывать звуковые сигналы из окружающего пространства. Специальное ПО смогли из собранных сигналов распознать музыкальные треки, которые играли в телевизоре, аудиофайлы, которые проигрывались через компьютерные колонки, а также человеческую речь. Исследователи заметили, что считывание звуковых сигналов может быть серьезно затруднено из-за фоновых шумов и условий освещенности.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
