Опасный умный дом: взлом, экономическое наблюдение и другие возможные проблемы

Рано или поздно большая часть устройств в доме будет подключена к интернету. Технофобы продержатся чуть дольше, но с появлением недорогих предложений умные лампочки, кофеварки, щётки, сиденья для унитаза заполнят наши жилища. И тогда острой станет проблема защиты частной жизни. Раз смарт-приборы взаимодействуют с владельцами, значит они могут общаться и с другими людьми — например, с разработчиками или злоумышленниками (а иногда это одно и то же).

Возможный взлом

Одна их самых явных опасностей умных устройств, подключенных к интернету, — получение несанкционированного доступа третьими лицами. Например, домашние системы безопасности, умные замки и глазки используют камеры для выполнения заявленных функций. Однако в результате взлома они могут стать средством наблюдения за домовладельцами. Собранная с помощью камер информация может быть использована для шантажа или составления плана проникновения в дом.

Умные замки позволяют открывать двери без ключей, используя код или другие способы идентификации личности. Однако если приложения для разблокировки будут взломаны, то злоумышленники смогут не только попасть внутрь помещения, но и обойти систему уведомлений о состоянии замка. Вы будете уверены в том, что дверь закрыта до тех пор, пока не увидите обворованное жилище.

В 2016 году в Мичиганском университете проверили интеллектуальные системы управления домом, чтобы понять, какие в них есть уязвимости. Особое внимание было уделено решению от SmartThings. В ходе экспериментальных атак было обнаружено два типа уязвимости: чрезмерные привилегии и небезопасные сообщения.

Управление системой осуществляется с помощью приложений SmartApps, которые имеют привилегии для выполнения определённых действий. Это похоже на разрешения, которые запрашивают приложения при установке на телефон — например, доступ к камере, телефонной книге, памяти и т.д. Проблема в том, что у SmartApps привилегии группируются. В исследовании приводится пример с автоматическим замком на двери. Если вы даёте приложению привилегию на блокировку, то оно автоматически получает возможность проводить разблокировку. Исследователи сообщают, что больше половины приложений имеют доступ к большему количеству функций, чем им требуется для выполнения изначально заложенной в них задачи.

При взаимодействии с физическими устройствами SmartApps обменивается с ними сообщениями, в которых могут содержаться конфиденциальные данные — например, PIN-код для снятия блокировки. При этом объём информации не зависит от функции, достаточно самого факта обмена сообщениями. Поэтому, например, приложение для контроля над уровнем заряда автоматического замка знаёт PIN-код для его разблокировки.

Программы SmartApps также могут создавать сообщения, которые выглядят как реальные сигналы от физических устройств. Это позволяет злоумышленникам передавать пользователям недостоверную информацию — например, о том, что замок закрыт, хотя на самом деле дверь разблокирована.

Кроме того, дома будут продаваться вместе с большинством умных устройств. Выставляя на продажу телефон или ноутбук, мы очищаем его память от файлов и удаляем все учётные записи. В случае с переездом то же самое придётся делать с домом. С другой стороны, покупателям, возможно, нужно будет задумываться ещё и о том, что предыдущие хозяева могут оставить себе лазейки для доступа к смарт-приборам.

Чтобы обезопасить себя от взлома, необходимо полностью поменять своё отношение к устройствам, подключенным к интернету, даже если это самые банальные бытовые предметы. Кто мог подумать ещё несколько лет назад, что атака на систему начнётся с кофеварки или зубной щётки? Теперь же это реальная угроза, поэтому все приборы, подключенные к сети, должны быть защищены одинаково хорошо.

Экономическое наблюдение

Даже если ваш дом никогда не станет объектом злонамеренной атаки, существует другая проблема — передача конфиденциальной информации на серверы компаний, которые занимаются разработкой и поддержкой умных устройств. Этой проблеме было посвящено выступление на TED Talks, основанное на эксперименте Кашмиры Хилл (Kashmir Hill) и Сурии Матью (Surya Mattu).

Кашмир сделала из однокомнатной квартиры в Сан-Франциско умный дом, в котором было установлено 18 устройств, подключенных к интернету: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и т.д. Сурия создал специальный роутер, который отслеживал всю сетевую активность и регистрировал данные, поступающие в умный дом и покидающие его. Целью исследования было понимание того, какую информацию устройства передают производителям, и что могут узнавать интернет-провайдеры, которые обеспечивают доступ в интернет. Важно было понять и то, какие данные компании могут продать.

Эксперимент над домом Кашмиры и её мужа Тревора продолжался в течение двух месяцев. По словам исследователей, за эти 60 дней не было ни минуты цифровой тишины. С помощью роутера, регистрирующего все сигналы от умных устройств, Сурия узнавал, когда хозяева квартиры ложились спать и просыпались, чистили зубы, готовили кофе. Он мог посмотреть, когда они включали телевизор, сколько его смотрели и какие программы пользовались у них наибольшей популярностью.

Самым разговорчивым устройством в доме оказалась колонка Amazon Echo, которая отправляла запросы на сервер каждые три минуты вне зависимости от того, использовали её или нет. В целом, все приборы вели непрерывные разговоры, о которых хозяева даже не подозревали. При этом большая часть данных, которые поступали на серверы компаний, может быть использована в коммерческих целях.

В своём выступлении исследователи рассказали о том, как разработчики некоторых устройств применяют полученную от пользователей информацию.

1. Компания Vizio, предоставляющая услуги телевидения, только в 2017 году заплатила 2,2 млн долларов правительству США за то, что собирала данные о том, как американцы смотрят телевизор, а затем продавала их рекламодателям.
2. Стоматологическая страховая компания Beam следит за умными щётками своих клиентов с 2015 года и рассчитывает размер страховки, исходя из полученной информации. 
3. Производители секс-игрушки We-Vibe, которая с помощью синхронизации через интернет позволяет людям заниматься любовью на расстоянии, знают, когда и как долго её используют, а также какими настройками вибрации пользуются чаще всего. Эта информация используется в маркетинговых целях для увеличения продаж, при этом пользователи даже не подозревают, что их оргазмы анализируются, пусть и в виде мета-данных. 

Исследователи отмечают ещё одну особенность умных устройств — даже если пользователи знают, что приборы за ними следят, они очень быстро забывают об этом. Например, муж Кашмиры Тревор был недоволен тем, что Сурия узнал о его пристрастии к одному сериалу, при том что он сам подключил телевизор к роутеру, который отслеживал сигналы. Возможно, первое время Тревор говорил себе, что не стоит слишком долго смотреть телевизор, пытался казаться чуть лучше, но затем забыл о постоянном наблюдении и показал все особенности своей жизни — хотя некоторые секреты он явно хотел бы сохранить при себе.

Безопасность — общая проблема владельцев умных домов

Умных устройств в домах людей со временем будет становиться только больше. Уже сейчас эксперты по безопасности пытаются объяснить обычным пользователям, что установка таких приборов равносильна приглашению компаний, а иногда и злоумышленников, в места, которые всегда были максимально приватными: гостиную, спальню, ванную комнату. Чтобы снизить риск вторжения в частную жизнь, нужно следовать хотя бы минимальному набору правил безопасности.

1. Убедитесь в том, что вам известна функциональность устройства: что оно делает, какие привилегии имеет, какую информацию получает и пересылает.
2. Регулярно устанавливайте обновления. Часто уязвимости обнаруживаются после старта продаж. Разработчики устраняют их и отправляют пользователям апдейты с более высокими показателями безопасности. Нажимая «Установить позже», вы подвергаете систему рискам, которых можно было легко избежать.
3. Помните о фишинге: относитесь с недоверием к сообщениям от незнакомых отправителей и ссылкам непонятного происхождения. Получив доступ к сети, злоумышленник сможет управлять всеми подключенными к ней устройствами.
4. Выбирайте надёжные пароли и используйте двухфакторную аутентификацию.
5. Используйте только официальные приложения от разработчиков интеллектуальных систем управления домом.
6. Следите за тем, чтобы телефон, планшет или другое устройство, имеющее доступ к управлению умным домом, не попадало в чужие руки. При его потере необходимо полностью поменять настройки безопасности всей системы.

Чем больше умных устройств появляется в доме, тем выше вероятность взлома. Поэтому пользователям придётся заботиться о безопасности системы и изучать особенности её работы. В противном случае неприкосновенность частной жизни может оказаться под угрозой.