Robot Tozsoran Məlumatlarınızı Oğurlayırsa: İstehsalçı Onu Necə Uzaqdan Qapadıb İstifadəyə Yaramaz Edir

Mühəndis Harishankar iLife A11 robot tozsoranının necə işlədiyini öyrənmək üçün cihazın şəbəkə trafikini yoxlamağa başlayanda heyrətləndirici bir faktla qarşılaşdı. O, tozsoranın istehsalçıya daim loglar və telemetriya məlumatları göndərdiyini aşkar etdi. Ən narahat edən məqam isə bu məlumatların toplanmasına istifadəçinin əvvəlcədən razılıq verməməsi idi. Harishankar bu məlumat toplama serverlərinin İP ünvanlarını öz şəbəkəsində bloklamağa qərar verdi, yalnız proqram təminatı yeniləmə (OTA) serverlərini açıq saxladı. Cihaz bir müddət normal işləsə də, qısa müddət sonra tamamilə sönməkdən imtina etdi. Bu hadisə robot tozsoran skandalına səbəb oldu: məlumat axını dayandırıldıqdan sonra istifadəçinin cihazı uzaqdan qapadılmışdı.

Uzun araşdırmadan sonra Harishankar cihazına uzaqdan "dayanma əmri" (stop command) göndərildiyini öyrəndi. O, tozsoranı bir neçə dəfə rəsmi servis mərkəzinə göndərdi. Maraqlıdır ki, texniklər cihazı işə salanda heç bir problem aşkar etmədilər. Tozsoran mühəndisə qayıtdıqda, bir neçə gün işləyir və sonra yenidən sönürdü. Bu vəziyyət dəfələrlə təkrarlandıqdan sonra, ehtimal ki, bezən servis mərkəzi cihazın zəmanətini ləğv etdi və onu qəbul etməyi dayandırdı. Bundan sonra Harishankar tozsoranın niyə nasaz olduğunu dəqiq bilmək üçün onu sökərək tədqiq etməyə başladı. iLife A11, AllWinner A33 çipseti, TinaLinux əməliyyat sistemi və Lidar kimi sensorları idarə edən mikro nəzarətçisi olan ağıllı bir cihaz idi. Mühəndis xüsusi PCB birləşdiriciləri yaratdı və kompüterlə komponentləri idarə etmək üçün Python skriptləri yazdı. Hətta aparat təminatında heç bir problem olmadığını sübut edərək, cihazı əl ilə idarə etmək üçün Raspberry Pi joystiki də düzəltdi. Aparat təminatının salamat olduğunu təsdiqlədikdən sonra, mühəndis proqram təminatını və əməliyyat sistemini araşdırdı.

Məhz burada o, robot tozsoranın böyük bir təhlükəsizlik kabusu olduğunu gördü. Cihazın Android Debug Bridge (ADB) sistemi tam kök (root) girişinə icazə verir, lakin bu giriş heç bir şifrə ilə qorunmurdu. Harishankar bu müdafiəsiz girişi asanlıqla keçdi. O, həmçinin tozsoranın evin canlı 3D xəritəsini yaratmaq üçün Google Cartographer texnologiyasından istifadə etdiyini aşkar etdi. Naviqasiya üçün xəritələşdirmə robot tozsoranlar üçün normal olsa da, narahat edən məqam cihazın bu məlumatların hamısını istehsalçının serverinə göndərməsi idi. Cihazın öz çipseti bu məlumatları emal etmək üçün kifayət qədər güclü olmadığından, məlumatların serverə göndərilməsi texniki cəhətdən zəruri ola bilərdi. Lakin iLife bu məlumatların toplanması üçün müştərilərdən açıq icazə almağı unutmuşdu. Mühəndis işləməyən tozsoranın log fayllarında cihazın dayandığı anla dəqiq üst-üstə düşən zaman damğası olan bir əmr tapdı. Bu, açıq şəkildə "dayanma əmri" idi və o, bu əmri geri çevirdikdə, cihaz yenidən işə düşdü.

Bəs niyə tozsoran servis mərkəzində işləyirdi, amma evdə yox? Texniklər tozsoranın proqram təminatını sıfırlamışdılar, beləliklə dayanma kodunu silmişdilər. Servis mərkəzində cihaz açıq bir şəbəkəyə qoşulduğu üçün normal işləyirdi. Lakin o, mühəndisin ev şəbəkəsinə (telemetriya serverləri bloklanmışdı) qoşulanda, istehsalçının serverləri ilə əlaqə qura bilmədiyi üçün yenidən uzaqdan qapadıldı. Cihazın məlumat toplama qabiliyyətləri əngəlləndiyi üçün istehsalçı onu tamamilə söndürməyə əl atmışdı. Harishankar vəziyyəti belə ümumiləşdirdi: "Kimsə və ya nə isə uzaqdan dayanma əmri vermişdi. İstər qəsdən verilmiş bir cəza olsun, istərsə də 'uyğunluğun' avtomatik tətbiqi olsun, nəticə eyni idi: istehlakçı cihazı sahibinə qarşı çıxırdı." Xüsusilə ucuz cihazlar, məlumatları emal etmək üçün yetərli yerli gücə malik olmadıqda, məlumatları emal üçün uzaq serverlərə göndərməyə məcbur qalırlar. Nəzarətinizdən kənar bir serverə göndərilən məlumatın başına nə gəldiyini bilmirsiz və bu, istehsalçıya sərbəstlik verir. Nəticədə, mühəndis cihazını yerli şəkildə, istehsalçının nəzarəti olmadan işlədə bildi. Bu, ona həm məlumatlarına nəzarəti bərpa etməyə, həm də kilidlənmiş cihazını öz şərtləri ilə istifadə etməyə imkan verdi. Onun digər istifadəçilərə məsləhəti belədir: "Əşyaların İnterneti (IoT) cihazları üçün heç vaxt əsas WiFi şəbəkənizdən istifadə etməyin" və "onlara evinizdə yad insanlar kimi yanaşın."