Okosporszívó, ami a felhasználó ellen fordult
Egy kiberbiztonsági blogger, aki történetesen egy szoftver architekt, részletesen elmeséli, hogyan fedezte fel az általa vásárolt iLife A11 okos porszívó, titokban adatot küldött külföldi szerverekre, anélkül, hogy erről tájékoztatták vagy engedélyt kértek volna tőle. A cikk kiberbiztonsági szempontból különösen figyelemreméltó, mert felhívja a figyelmet az IoT-eszközök adatszedési és kontrollvesztési kockázataira, valamint a felhasználók jogainak korlátozására.
A blogger miután megvásárolta és üzembe helyezte az okos porszívót, észrevette, hogy az eszköz folyamatosan kommunikál a gyártó szervereivel, és adatok áramlanak külföldre. Kíváncsiságból és biztonsági aggályok miatt megpróbálta blokkolni ezt a kommunikációt, mire a porszívó távról leállt, és nem működött tovább. Kiderült, hogy a gyártó beépített egy rejtett funkciót, amely lehetővé teszi, hogy távról letiltsák az eszközt, ha az nem tud kapcsolódni a felhőszolgáltatáshoz, vagy ha a felhasználó megpróbálja korlátozni az adatszedést.A porszívó hardveresen is fejlett, AllWinner A33 processzoron fut, Linux operációs rendszert használ, és Google Cartographer szoftvert alkalmaz a térképeléshez. Ez azt jelenti, hogy az eszköz nem csak egyszerű háztartási gépezet, hanem egy igazi, kamerával és szenzorokkal felszerelt számítógép, amely képes a lakás térképének létrehozására és az adatok távoli küldésére. A szerző költőien megkérdezi vajon biztonságos-e, hogy egy ismeretlen gyártóhoz tartozó eszköz, amely kamerával és mikrofonnal rendelkezik, szabadon járkáljon az otthonunkban, és adatot gyűjtsön rólunk anélkül, hogy tudnánk, mit és hova küld.Az IoT-eszközök gyakran nem csak a felhasználó számára dolgoznak, hanem a gyártó számára is, aki távról irányíthatja, letilthatja vagy frissítheti az eszközt, akár a felhasználó tudta vagy engedélye nélkül. Ez nemcsak a magánszférát és az adatvédelmet veszi kockára, hanem a felhasználó jogait is korlátozza, formálisan ugyanis a vevő a tulajdonosa az eszköznek, de valójában nem rendelkezik teljes kontrollal felette. A szerző végül úgy döntött, hogy a porszívót offline módban üzemelteti, így kizárólag helyi hálózaton belül működik, és nem küld adatot a gyártónak, így viszont az eszköz használhatatlanná vált. Az eszközön alapértelmezés szerint telepítve volt az rtty szoftver, ami távoli root hozzáférést biztosított az eszközhöz, lehetővé téve a gyártó számára, hogy bármilyen parancsot futtasson vagy bármilyen szkriptet telepítsen távolról, a felhasználó tudta nélkül. A gyártónak hatalmában állt távolról letiltani az eszközt, és ezt fel is használta az adatgyűjtés blokkolása miatt.
A történet egyben figyelmeztetés is, az okos eszközök, bár kényelmesebbé tehetik az életünket, komoly biztonsági és adatvédelmi kockázatokat is rejthetnek. A szerző javasolja, hogy soha ne használjuk a fő Wi-Fi hálózatunkat IoT-eszközökhöz, hanem külön, izolált hálózatot hozzunk létre számukra, és mindig gondolkodjunk el azon, hogy milyen adatokhoz és jogokhoz juthatnak hozzá ezek az eszközök. Az okos eszközök nem feltétlenül okosabbak, mint a felhasználók és a biztonság, valamint a magánszféra védelme a saját kezünkben van.
