vak | Китайцы шпионят через пылесосы

Производитель выдал команду на удалённое отключение для отключения умного пылесоса после того, как инженер заблокировал ему сбор данных. Пользователь восстанавливает его с помощью специального оборудования и скриптов Python для автономной работы.

Умный пылесос был удалённо заблокирован из-за отсутствия сбора данных.

Инженер заинтересовался работой своего умного пылесоса iLife A11 и начал отслеживать сетевой трафик, исходящий от устройства. Тогда он заметил, что тот постоянно отправляет производителю журналы и данные телеметрии, на что он не давал своего согласия. Пользователь, Харишанкар, решил заблокировать IP-адреса серверов телеметрии в своей сети, оставив прошивку и серверы OTA открытыми. Его умный гаджет работал какое-то время, но вскоре перестал включаться. После долгого расследования он обнаружил, что устройству была выдана команда на удалённое отключение.

Он несколько раз отправлял его в сервисный центр, где специалисты включали его и не находили никаких проблем с пылесосом. Когда пылесос вернули, он проработал несколько дней, а затем снова перестал загружаться. После нескольких раундов переговоров сервисный центр, вероятно, устал и просто перестал принимать его, заявив, что гарантия не действует. Поэтому он решил разобрать устройство, чтобы определить причину поломки и попытаться восстановить его работоспособность.

Поскольку A11 был умным устройством, он был оснащен чипсетом AllWinner A33 с операционной системой TinaLinux, а также микроконтроллером GD32F103 для управления множеством датчиков, включая лидар, гироскопы и энкодеры. Он подключил разъёмы к печатной плате и написал скрипты на Python для управления ими с помощью компьютера, с целью индивидуальной проверки каждого компонента и выявления неисправностей. Затем он собрал джойстик на Raspberry Pi для ручного управления пылесосом, доказав, что с оборудованием всё в порядке.

После этого он изучил его программное обеспечение и операционную систему, и именно здесь он обнаружил мрачную правду: его умный пылесос был кошмаром безопасности и чёрной дырой для его личных данных. Прежде всего, Android Debug Bridge, предоставляющий ему полный root-доступ к пылесосу, не был защищён никаким паролем или шифрованием. Производитель добавил импровизированный протокол безопасности, убрав важный файл, из-за чего пылесос отключался вскоре после загрузки, но Харишанкар легко обошёл его. Затем он обнаружил, что пылесос использует Google Cartographer для построения трёхмерной карты его дома в режиме реального времени.

В этом нет ничего необычного. В конце концов, это умный пылесос, и ему нужны эти данные для навигации по дому. Однако беспокоит то, что он отправлял все эти данные на сервер производителя. Вполне логично, что устройство отправляет эти данные производителю, поскольку его встроенная система на кристалле недостаточно мощна для обработки всех этих данных. Однако, похоже, iLife не согласовала это со своими клиентами. Более того, инженер сделал одно тревожное открытие: в логах своего неработающего умного пылесоса он обнаружил команду с меткой времени, точно совпадающей со временем остановки устройства. Это была явно команда на завершение работы, и после того, как он отменил её и перезагрузил устройство, оно снова ожило.

Итак, почему A11 работал в сервисном центре, но отказывался работать дома? Техники переустанавливали прошивку умного пылесоса, удаляя код отключения, а затем подключали его к открытой сети, восстанавливая нормальную работу. Но как только он снова подключался к сети, в которой были заблокированы серверы телеметрии, он удалённо блокировался, поскольку не мог связаться с серверами производителя. Поскольку он заблокировал сбор данных устройства, производитель решил просто полностью отключить его. «Кто-то — или что-то — удалённо дал команду на отключение», — говорит Харишанкар. «Будь то намеренное наказание или автоматическое принуждение к «соблюдению правил», результат был один и тот же: потребительское устройство напало на своего владельца».

К сожалению, многие другие бренды умных пылесосов используют похожее оборудование, поэтому неудивительно, что у них та же схема. Это, вероятно, особенно актуально для более дешёвых устройств с менее мощным оборудованием и без поддержки периферийных вычислений, а значит, им придётся отправлять данные на какой-то удалённый сервер для обработки. Но поскольку ваша информация переносится на другое устройство, находящееся вне вашего контроля, вы на самом деле не имеете ни малейшего представления о том, что с ней происходит, предоставляя производителю полную свободу действий в использовании ее по своему усмотрению.

Threaded | Top-Level Comments Only

From:

juan_gandhi

В Теленаве, где я работал, стали делать трекеры для грузовиков, типа по всей Америке. Сервера в Теленаве находятся (находились) в Пекине. Тут я не выдержал.

From:

borisk

Глупый вопрос: а сколько пылесос проработает без доступа к OTA серверам?

Если он не глючит, его и обновлять не надо.

Но вообще Valetudo наш выбор.

From:

straktor

ещё фактоид / новость -- в Норвегии проверили купленные в КНР автобусы, большой контракт -- нашли вложенные сим-карты и модемы, которые время от времени связывались с китайскими серверами. Есть подозрения, что могут передавать инфу и принимать команды на перехват управления

ещё хохма, что где-то на зазпаде собираются продавать роботов общего назначения по 500 баксов в месяц
должен уметь мыть посуду, выносить мусор, ходить на закупы, гладить-стирать-полы мыть -- но!
первый год-два ИИ надо обучать на данных покупателя, поэтому робот будет управляться живыми индусами, которые разумеется будут ходить и видеть дом покупателя
предлагается, что на места, куда нежелательно, пусть клеят наклейки, те будут соблюдать!..

From:

mdmx

Я помню китайское хакерское гнездо в 11м году накрыл в горсовете, так они нам потом сеть шатали...
А так то все давно заполонили их шпионы на уровне встроенной элеткроники.
У Вернора Винджа было откровение на этот счет уже давно - https://en.wikipedia.org/wiki/A_Deepness_in_the_Sky

а так то да - спохватились, но поздно

В израильской армии у офицеров стали забирать служебные авто китайского производства — риск шпионажа признан официально

У военных есть все основания полагать, что встроенные камеры, датчики и системы связи могут собирать данные и отправлять их на серверы в Китай.

Минобороны Израиля и ЦАХАЛ начали поэтапный отказ. Под удар попали сотни авто — в основном это семиместные машины марки CHERY, которые выдали офицерам с большими семьями.

Сейчас китайским автомобилям запрещают въезд на военные базы, а к началу 2026 года планируют полностью отказаться от их использования.

From:

malyj_gorgan

Мене ваше зауваження надихнуло згадати про один зі способів, яким за нами дивляться, взагалі нас ні про що не питаючи. Оце тільки що окремий допис виставив. (TL/DR : цю битву ми вже програли)

From:

juan_gandhi

Програли, звісно.

From:

zuka

Напомнило главный вой по поводу отключения тиктока: "так там же можно выбрать не следить за вами, там есть кнопка!"
Угу, кнопка там есть.

From:

vak

Помнится, у советских людей не было выбора не строить коммунизм.

From:

vak

Избегайте китайских пылесосов. И другой китайской электроники.

From:

vak

Внезапно оказывается, что Китай это враг. Не потенциальный, а уже сейчас.

From:

vlad_m

А микрофон и видеокамеры у него есть?

From:

straktor

камера у робота, конечно, есть -- должен же он видеть преграды и сам пол

микрофон в наше время можно миниатюризовать до миллиметра, хрен словишь

From:

chuka_lis

веселенькое дело!

From:

borisk

«Так ведь другой и нет»

From:

vak

Почему нет? Остались ещё честные производители.

From:

borisk

Например?

Честный производитель должен, как минимум, делать управляющий софт сам, включая драйверы для датчиков и камер

From:

volynsky

у меня богатый опыт подобных историй по причине деликатности проф. интересов. за подобным были замечены: мониторы, настенные графические планшеты, кофеваки, увлажнители воздуха, приборы проф. света, спутниковый ресивер, а так же ещё несколько девайсов, ряд которых вообще не были собраны в китае.

From:

vak

Явно прослеживается руководящая роль коммунистической партии Китая. 😀
Помнится, в доковидное время были популярны наклейки на еду “без ГМО”. Предсказываю моду на аналогичные наклейки на электронику: “без КПК”.

From:

vak

Ну вот iRobot скажем.

From:

vak

Просрали китайцы кредит доверия.

From:

vak

Кто бы придумал девайс, который подключаешь к домашней сети, а он выявляет, какие из бытовых приборов шпионят на китайцев.

From:

mdmx

Доверия как бы и небыло особо, скорее такое снисходительное отношение, как к ребенку который балуется. Все это до поры до времени пока имперские амбиции не прорезались.

From:

mdmx

Содержит коммунизм идентичный натуральному.

From:

borisk

Ранние были хороши. А нынешнее поколение iRobot?

From:

vak

Одного айробота я укатал за десять лет, взял другого на замену. Вроде ничо так, нормально трудится по дому.

From:

borisk

Сетевой трафик проверяли?

From:

volynsky

они уже есть. например в Канаде

From:

flamedancerii

https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/

з нещодавніх новин.

тобто нібито щось намагаються зробити, як і з dji наприклад.
Але це можливо більше про гроші, а про безпеку просто до купи.

Edited Date: 2025-11-10 16:15 (UTC)

Threaded | Top-Level Comments Only

Профиль

Посетители

Пятнадцать байтов на стек от конца

Китайцы шпионят через пылесосы

Китайцы шпионят через пылесосы

no subject

no subject

no subject

Поздновато спохватились

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

Re: Поздновато спохватились

no subject

Re: Поздновато спохватились

no subject

no subject

no subject

no subject

no subject

no subject

Профиль

Метки

Посетители