X

מטריד: פירק את שואב האבק - וגילה שהוא משדר נתונים לגורמים חיצוניים

מהנדס תוכנה החליט לבדוק את המכשיר החדש לאחר הקנייה כמו שהוא בודק כל מכשיר • בתוך דקות ספורות הוא גילה זרם נתונים קבוע שיוצא מהבית לשרתים בחו"ל מבלי שהסכים לכך • בבלוג שלו כתב: "זה יכול להפוך למסוכן בפקודה אחת בלבד"

אביטל פריד
, עודכן
0השמעה
השואב החכם הפך למרגל. צילום: נוצר באמצעות GROK

בהודעה דרמטית שפרסם בבלוג האישי שלו, חשף המהנדס ההודי, הרישנקר נאראיאנן, תגלית מטרידה: שואב האבק הרובוטי שלו, מדגם iLife A11 - מכשיר פופולרי שמחירו כ-300 דולר - שידר במשך כשנה נתוני רשת חסויים לשרתים בחו"ל, מבלי שהסכים לכך.

קצת התרגלנו לסוגיית המעקב הטכנולוגי: הטלפונים הניידים מאזינים לנו, האלגוריתם ברשתות מזהה דפוסים, ואפילו רכבים חשמליים כבר עולים לשיח בהקשרי האזנות והעברת מידע - אבל מתברר שיש מוצרים טכנולוגיים נוספים שכדאי לפקוח עליהם עין.

"אני טיפוס קצת פרנואידי מהסוג החיובי", כתב נאראיאנן, מהנדס תוכנה במקצועו. "החלטתי לבדוק את תעבורת הנתונים של המכשיר כמו שאני עושה עם כל מוצר חכם". בתוך דקות בודדות, הוא גילה זרם נתונים קבוע שיצא מהבית אל השרתים של היצרן, שכלל מידע מפורט על פעילות המכשיר והרגלי השימוש בו.

בתוך דקות בודדות התגלה זרם נתונים קבוע שיצא מהבית אל השרתים של היצרן, צילום: מתוך הבלוג של הרישנקר נאראיאנן

כאשר חסם את שידור המידע אך השאיר את עדכוני הקושחה פעילים, השואב המשיך לעבוד עוד כמה ימים עד שהפסיק לפתע. נאראיאנן שלח אותו למרכז שירות לקוחות, שלדבריו קבע כי "המכשיר עובד מצוין אצלנו". לאחר שהמחזיר חזר אליו, הוא פעל שוב לכמה ימים - ואז שוב כבה. בסבב תיקונים חוזר ונשנה המרכז סירב להמשיך בתיקונים בטענה שהאחריות פגה.

בשלב הזה פירק נאראיאנן בעצמו את המכשיר וביצע "הנדסה הפוכה", כלומר, פירק את השואב ובדק את התוכנה הפנימית שלו בכדי לגלות איך הוא אוסף מידע ומה גרם לו להפסיק לעבוד.

במהלך הבדיקה גילה נאראיאנן כי פורט ה-ADB (Android Debug Bridge) של השואב - ממשק שמיועד למפתחים לצורך בדיקות ושליטה במכשירי אנדרואיד - נותר פתוח לחלוטין. המשמעות: כל מי שמחובר לאותה רשת יכול היה לגשת למכשיר, לשנות קבצים, או אפילו להשתלט עליו בלי סיסמה ובלי כל הגנה. במילים אחרות, השואב החכם הפך לשער פתוח היישר אל תוך הבית.

הגילוי הבא היה חמור עוד יותר. המכשיר הריץ את Google Cartographer, תוכנת קוד פתוח ליצירת מפה תלת-ממדית של הבית, ושלח את המיפוי בחזרה לחברת האם. ולא רק זאת: נאראיאנן מצא גם שורת קוד חשודה שהועברה מהמפעיל למכשיר בדיוק ברגע בו השואב חדל לפעול.

"יכולים להפוך מסוכנים בפקודה אחת בלבד". השואב הרובוטי, צילום: מתוך הבלוג של הרישנקר נאראיאנן

לדבריו, "מישהו - או משהו - שידר פקודת השבתה מרחוק". לאחר ששינה את הקוד בחזרה ואיתחל את המכשיר, הוא שב לפעול מיד.

בבלוג הוא מתאר את אחת ממסקנותיו, והיא שלחברה היצרנית הייתה היכולת להשבית את המכשיר מרחוק, וככל הנראה עשתה זאת בתגובה לחסימת איסוף המידע. "בין אם זו ענישה מכוונת או אכיפה אוטומטית, המשמעות זהה: מכשיר ביתי הפך באחת לכלי נשק בידי היצרן", כתב.

הוא הוסיף גם אזהרה רחבה יותר, שייתכן שעשרות דגמים של שואבים חכמים ומכשירים אחרים פועלים באותו אופן. "הבתים שלנו מלאים מצלמות, מיקרופונים וחיישני תנועה המחוברים לשרתים של חברות שאיננו מכירים - כולם יכולים להפוך מסוכנים בפקודה אחת בלבד", כתב.

המקרה הזה מדגיש כי הטכנולוגיה המתוחכמת שממלאת כיום את בתינו אינה חפה מסיכונים, והמחיר האמיתי שלהם עשוי להתגלות לעיתים רק לאחר הרכישה. "בפעם הבאה שאתם רוכשים מכשיר 'חכם', קחו בחשבון את הדברים הבאים: למי זה באמת שייך - לך או לחברה שייצרה את זה? כי לפעמים, אפילו שואב אבק יכול להפוך למרגל", כתב לבסוף.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
מרגלנתוניםשואב אבקשואב אבק רובוטי

כדאי להכיר