![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vakПроизводитель выдал команду на удалённое отключение для отключения умного пылесоса после того, как инженер заблокировал ему сбор данных. Пользователь восстанавливает его с помощью специального оборудования и скриптов Python для автономной работы.
Умный пылесос был удалённо заблокирован из-за отсутствия сбора данных.
Инженер заинтересовался работой своего умного пылесоса iLife A11 и начал отслеживать сетевой трафик, исходящий от устройства. Тогда он заметил, что тот постоянно отправляет производителю журналы и данные телеметрии, на что он не давал своего согласия. Пользователь, Харишанкар, решил заблокировать IP-адреса серверов телеметрии в своей сети, оставив прошивку и серверы OTA открытыми. Его умный гаджет работал какое-то время, но вскоре перестал включаться. После долгого расследования он обнаружил, что устройству была выдана команда на удалённое отключение.
Он несколько раз отправлял его в сервисный центр, где специалисты включали его и не находили никаких проблем с пылесосом. Когда пылесос вернули, он проработал несколько дней, а затем снова перестал загружаться. После нескольких раундов переговоров сервисный центр, вероятно, устал и просто перестал принимать его, заявив, что гарантия не действует. Поэтому он решил разобрать устройство, чтобы определить причину поломки и попытаться восстановить его работоспособность.
Поскольку A11 был умным устройством, он был оснащен чипсетом AllWinner A33 с операционной системой TinaLinux, а также микроконтроллером GD32F103 для управления множеством датчиков, включая лидар, гироскопы и энкодеры. Он подключил разъёмы к печатной плате и написал скрипты на Python для управления ими с помощью компьютера, с целью индивидуальной проверки каждого компонента и выявления неисправностей. Затем он собрал джойстик на Raspberry Pi для ручного управления пылесосом, доказав, что с оборудованием всё в порядке.
После этого он изучил его программное обеспечение и операционную систему, и именно здесь он обнаружил мрачную правду: его умный пылесос был кошмаром безопасности и чёрной дырой для его личных данных. Прежде всего, Android Debug Bridge, предоставляющий ему полный root-доступ к пылесосу, не был защищён никаким паролем или шифрованием. Производитель добавил импровизированный протокол безопасности, убрав важный файл, из-за чего пылесос отключался вскоре после загрузки, но Харишанкар легко обошёл его. Затем он обнаружил, что пылесос использует Google Cartographer для построения трёхмерной карты его дома в режиме реального времени.
В этом нет ничего необычного. В конце концов, это умный пылесос, и ему нужны эти данные для навигации по дому. Однако беспокоит то, что он отправлял все эти данные на сервер производителя. Вполне логично, что устройство отправляет эти данные производителю, поскольку его встроенная система на кристалле недостаточно мощна для обработки всех этих данных. Однако, похоже, iLife не согласовала это со своими клиентами. Более того, инженер сделал одно тревожное открытие: в логах своего неработающего умного пылесоса он обнаружил команду с меткой времени, точно совпадающей со временем остановки устройства. Это была явно команда на завершение работы, и после того, как он отменил её и перезагрузил устройство, оно снова ожило.
Итак, почему A11 работал в сервисном центре, но отказывался работать дома? Техники переустанавливали прошивку умного пылесоса, удаляя код отключения, а затем подключали его к открытой сети, восстанавливая нормальную работу. Но как только он снова подключался к сети, в которой были заблокированы серверы телеметрии, он удалённо блокировался, поскольку не мог связаться с серверами производителя. Поскольку он заблокировал сбор данных устройства, производитель решил просто полностью отключить его. «Кто-то — или что-то — удалённо дал команду на отключение», — говорит Харишанкар. «Будь то намеренное наказание или автоматическое принуждение к «соблюдению правил», результат был один и тот же: потребительское устройство напало на своего владельца».
К сожалению, многие другие бренды умных пылесосов используют похожее оборудование, поэтому неудивительно, что у них та же схема. Это, вероятно, особенно актуально для более дешёвых устройств с менее мощным оборудованием и без поддержки периферийных вычислений, а значит, им придётся отправлять данные на какой-то удалённый сервер для обработки. Но поскольку ваша информация переносится на другое устройство, находящееся вне вашего контроля, вы на самом деле не имеете ни малейшего представления о том, что с ней происходит, предоставляя производителю полную свободу действий в использовании ее по своему усмотрению.
Умный пылесос был удалённо заблокирован из-за отсутствия сбора данных.
Инженер заинтересовался работой своего умного пылесоса iLife A11 и начал отслеживать сетевой трафик, исходящий от устройства. Тогда он заметил, что тот постоянно отправляет производителю журналы и данные телеметрии, на что он не давал своего согласия. Пользователь, Харишанкар, решил заблокировать IP-адреса серверов телеметрии в своей сети, оставив прошивку и серверы OTA открытыми. Его умный гаджет работал какое-то время, но вскоре перестал включаться. После долгого расследования он обнаружил, что устройству была выдана команда на удалённое отключение.
Он несколько раз отправлял его в сервисный центр, где специалисты включали его и не находили никаких проблем с пылесосом. Когда пылесос вернули, он проработал несколько дней, а затем снова перестал загружаться. После нескольких раундов переговоров сервисный центр, вероятно, устал и просто перестал принимать его, заявив, что гарантия не действует. Поэтому он решил разобрать устройство, чтобы определить причину поломки и попытаться восстановить его работоспособность.
Поскольку A11 был умным устройством, он был оснащен чипсетом AllWinner A33 с операционной системой TinaLinux, а также микроконтроллером GD32F103 для управления множеством датчиков, включая лидар, гироскопы и энкодеры. Он подключил разъёмы к печатной плате и написал скрипты на Python для управления ими с помощью компьютера, с целью индивидуальной проверки каждого компонента и выявления неисправностей. Затем он собрал джойстик на Raspberry Pi для ручного управления пылесосом, доказав, что с оборудованием всё в порядке.
После этого он изучил его программное обеспечение и операционную систему, и именно здесь он обнаружил мрачную правду: его умный пылесос был кошмаром безопасности и чёрной дырой для его личных данных. Прежде всего, Android Debug Bridge, предоставляющий ему полный root-доступ к пылесосу, не был защищён никаким паролем или шифрованием. Производитель добавил импровизированный протокол безопасности, убрав важный файл, из-за чего пылесос отключался вскоре после загрузки, но Харишанкар легко обошёл его. Затем он обнаружил, что пылесос использует Google Cartographer для построения трёхмерной карты его дома в режиме реального времени.
В этом нет ничего необычного. В конце концов, это умный пылесос, и ему нужны эти данные для навигации по дому. Однако беспокоит то, что он отправлял все эти данные на сервер производителя. Вполне логично, что устройство отправляет эти данные производителю, поскольку его встроенная система на кристалле недостаточно мощна для обработки всех этих данных. Однако, похоже, iLife не согласовала это со своими клиентами. Более того, инженер сделал одно тревожное открытие: в логах своего неработающего умного пылесоса он обнаружил команду с меткой времени, точно совпадающей со временем остановки устройства. Это была явно команда на завершение работы, и после того, как он отменил её и перезагрузил устройство, оно снова ожило.
Итак, почему A11 работал в сервисном центре, но отказывался работать дома? Техники переустанавливали прошивку умного пылесоса, удаляя код отключения, а затем подключали его к открытой сети, восстанавливая нормальную работу. Но как только он снова подключался к сети, в которой были заблокированы серверы телеметрии, он удалённо блокировался, поскольку не мог связаться с серверами производителя. Поскольку он заблокировал сбор данных устройства, производитель решил просто полностью отключить его. «Кто-то — или что-то — удалённо дал команду на отключение», — говорит Харишанкар. «Будь то намеренное наказание или автоматическое принуждение к «соблюдению правил», результат был один и тот же: потребительское устройство напало на своего владельца».
К сожалению, многие другие бренды умных пылесосов используют похожее оборудование, поэтому неудивительно, что у них та же схема. Это, вероятно, особенно актуально для более дешёвых устройств с менее мощным оборудованием и без поддержки периферийных вычислений, а значит, им придётся отправлять данные на какой-то удалённый сервер для обработки. Но поскольку ваша информация переносится на другое устройство, находящееся вне вашего контроля, вы на самом деле не имеете ни малейшего представления о том, что с ней происходит, предоставляя производителю полную свободу действий в использовании ее по своему усмотрению.
no subject
Date: 2025-11-03 09:40 (UTC)no subject
Date: 2025-11-03 17:47 (UTC)no subject
Date: 2025-11-03 17:55 (UTC)no subject
Date: 2025-11-10 16:15 (UTC)з нещодавніх новин.
тобто нібито щось намагаються зробити, як і з dji наприклад.
Але це можливо більше про гроші, а про безпеку просто до купи.
no subject
Date: 2025-11-03 10:17 (UTC)Если он не глючит, его и обновлять не надо.
Но вообще Valetudo наш выбор.
no subject
Date: 2025-11-03 20:39 (UTC)no subject
Date: 2025-11-04 06:35 (UTC)no subject
Date: 2025-11-04 06:44 (UTC)no subject
Date: 2025-11-04 06:57 (UTC)Честный производитель должен, как минимум, делать управляющий софт сам, включая драйверы для датчиков и камер
no subject
Date: 2025-11-07 02:57 (UTC)no subject
Date: 2025-11-07 07:00 (UTC)no subject
Date: 2025-11-07 07:51 (UTC)no subject
Date: 2025-11-07 10:25 (UTC)no subject
Date: 2025-11-03 10:31 (UTC)ещё хохма, что где-то на зазпаде собираются продавать роботов общего назначения по 500 баксов в месяц
должен уметь мыть посуду, выносить мусор, ходить на закупы, гладить-стирать-полы мыть -- но!
первый год-два ИИ надо обучать на данных покупателя, поэтому робот будет управляться живыми индусами, которые разумеется будут ходить и видеть дом покупателя
предлагается, что на места, куда нежелательно, пусть клеят наклейки, те будут соблюдать!..
no subject
Date: 2025-11-03 20:40 (UTC)Поздновато спохватились
Date: 2025-11-03 10:49 (UTC)А так то все давно заполонили их шпионы на уровне встроенной элеткроники.
У Вернора Винджа было откровение на этот счет уже давно - https://en.wikipedia.org/wiki/A_Deepness_in_the_Sky
а так то да - спохватились, но поздно
В израильской армии у офицеров стали забирать служебные авто китайского производства — риск шпионажа признан официально
У военных есть все основания полагать, что встроенные камеры, датчики и системы связи могут собирать данные и отправлять их на серверы в Китай.
Минобороны Израиля и ЦАХАЛ начали поэтапный отказ. Под удар попали сотни авто — в основном это семиместные машины марки CHERY, которые выдали офицерам с большими семьями.
Сейчас китайским автомобилям запрещают въезд на военные базы, а к началу 2026 года планируют полностью отказаться от их использования.
Re: Поздновато спохватились
Date: 2025-11-07 02:58 (UTC)Re: Поздновато спохватились
Date: 2025-11-07 05:37 (UTC)no subject
Date: 2025-11-03 19:57 (UTC)Угу, кнопка там есть.
no subject
Date: 2025-11-03 20:38 (UTC)no subject
Date: 2025-11-03 21:31 (UTC)no subject
Date: 2025-11-03 23:19 (UTC)микрофон в наше время можно миниатюризовать до миллиметра, хрен словишь
no subject
Date: 2025-11-04 03:33 (UTC)no subject
Date: 2025-11-07 03:00 (UTC)no subject
Date: 2025-11-06 11:42 (UTC)no subject
Date: 2025-11-06 17:28 (UTC)Помнится, в доковидное время были популярны наклейки на еду “без ГМО”. Предсказываю моду на аналогичные наклейки на электронику: “без КПК”.
no subject
Date: 2025-11-07 05:39 (UTC)no subject
Date: 2025-11-09 17:29 (UTC)