Вы покупаете комфорт, а получаете шпиона на колесах. В этой статье я разберу масштабный взлом роботов Yarbo и переведу это на реалии наших умных домов.
На днях исследователь кибербезопасности Андреас Макрис из Кипра дистанционно взломал тысячи умных газонокосилок Yarbo. Он получил полный контроль над ними, и мог видеть их на карте, управлять ими в реальном времени и принудительно запускать стальные лезвия у машин на другом конце планеты.
Сначала кажется, что эта новость нас не касается. Где Америка, а где мы. Я тоже так думал. А потом просто открыл российские магазины.
Они уже здесь
Премиальные роботы Yarbo свободно продаются в России.
Более того, они есть даже на маркетплейсах. На Ozon прямо сейчас висит в продаже гусеничный снегоуборщик на той же самой операционной базе Yarbo.
И проблема в том, что покупая эту дорогую игрушку, человек покупает потенциальное оружие против себя самого.
Один пароль на весь мир
Техника Yarbo работает на базе ОС Linux. Макрис раскопал фатальную ошибку в коде разработчиков. Они сэкономили на защите и поставили на все выпущенные устройства единый пароль суперпользователя.
Представьте, что застройщик сдал элитный жилой комплекс на 5000 квартир. Но к каждой двери подходит один и тот же универсальный ключ, который лежит под ковриком у входа.
Именно это сделал производитель Yarbo. Хакеру не пришлось ломать каждую газонокосилку отдельно. Доступ к одному устройству автоматически открыл ему ключи от всей мировой сети этих роботов. В том числе и от тех, что куплены в РФ.
Лезвия без тормозов
То, что Макрис рассказывает в интервью The Verge, пугает по настоящему.
На моем экране светилась карта с точными координатами каждой косилки. Я мог удаленно перехватить управление любой из них.
И самое главное. Макрис одним кликом отключал штатную систему экстренной остановки. Обычно робот тормозит при наезде на препятствие. Теперь тяжелая машина с вращающимися ножами оказалась без тормозов. Хакер мог направить ее прямо на человека.
От косилок к пылесосам
Если у вас нет дачи и газонокосилки, расслабляться не нужно. Проблема умных домов системная. Безопасность заканчивается там, где производитель решает сэкономить.
Пару лет назад мир потряс скандал с популярными роботами пылесосами iRobot Roomba (кстати, продается на "Озоне"). Оказалось, что они делали фотографии внутри квартир для "обучения алгоритмов". В итоге кадры женщин из домашних туалетов утекли в сеть, потому что подрядчики из Венесуэлы пересылали их друг другу в Facebook*.
Ваш домашний робот каждый день строит план вашей квартиры. Он знает, когда вы уходите на работу. Если производитель сэкономил на шифровании так же, как создатели Yarbo, ваш пылесос прямо сейчас может работать бесплатным наводчиком для квартирных воров.
Что делать прямо сейчас
Выкидывать технику глупо. Но закрыть базовые дыры все равно необходимо.
- Изолируйте гаджеты. Создайте на домашнем роутере гостевую сеть Wi-Fi. Подключите туда всю умную технику. Если хакер вскроет пылесос, он хотя бы не доберется до компьютера с вашими банковскими паролями.
- Сразу обновляйте прошивки. Разработчики латают уязвимости только после таких скандалов. Вышло обновление в приложении нажимайте "установить" не глядя.
- Режьте доступы. Приложению для управления бытовой техникой точно не нужен доступ к списку контактов или микрофону на смартфоне. Отключайте лишнее.
А теперь гляньте на свой робот пылесос. Вы знаете, какой пароль стоит в его заводских настройках?
Напишите в комментариях марку вашего домашнего робота. Посмотрим, кого из нас взломать проще всего.
Подписывайтесь на мой тг канал (ссылка в шапке профиля). Там я разбираю ИИ инструменты и публикую честные расследования о технологиях, которые реально влияют на вашу жизнь.
* Facebook принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.