Опасный умный дом: взлом, экономическое наблюдение и другие возможные проблемы
Рано или поздно большая часть устройств в доме будет подключена к интернету. Технофобы продержатся чуть дольше, но с появлением недорогих предложений умные лампочки, кофеварки, щётки, сиденья для унитаза заполнят наши жилища. И тогда острой станет проблема защиты частной жизни. Раз смарт-приборы взаимодействуют с владельцами, значит они могут общаться и с другими людьми — например, с разработчиками или злоумышленниками (а иногда это одно и то же).Возможный взлом
Одна их самых явных опасностей умных устройств, подключенных к интернету, — получение несанкционированного доступа третьими лицами. Например, домашние системы безопасности, умные замки и глазки используют камеры для выполнения заявленных функций. Однако в результате взлома они могут стать средством наблюдения за домовладельцами. Собранная с помощью камер информация может быть использована для шантажа или составления плана проникновения в дом.Умные замки позволяют открывать двери без ключей, используя код или другие способы идентификации личности. Однако если приложения для разблокировки будут взломаны, то злоумышленники смогут не только попасть внутрь помещения, но и обойти систему уведомлений о состоянии замка. Вы будете уверены в том, что дверь закрыта до тех пор, пока не увидите обворованное жилище.
В 2016 году в Мичиганском университете проверили интеллектуальные системы управления домом, чтобы понять, какие в них есть уязвимости. Особое внимание было уделено решению от SmartThings. В ходе экспериментальных атак было обнаружено два типа уязвимости: чрезмерные привилегии и небезопасные сообщения.
Управление системой осуществляется с помощью приложений SmartApps, которые имеют привилегии для выполнения определённых действий. Это похоже на разрешения, которые запрашивают приложения при установке на телефон — например, доступ к камере, телефонной книге, памяти и т.д. Проблема в том, что у SmartApps привилегии группируются. В исследовании приводится пример с автоматическим замком на двери. Если вы даёте приложению привилегию на блокировку, то оно автоматически получает возможность проводить разблокировку. Исследователи сообщают, что больше половины приложений имеют доступ к большему количеству функций, чем им требуется для выполнения изначально заложенной в них задачи.
При взаимодействии с физическими устройствами SmartApps обменивается с ними сообщениями, в которых могут содержаться конфиденциальные данные — например, PIN-код для снятия блокировки. При этом объём информации не зависит от функции, достаточно самого факта обмена сообщениями. Поэтому, например, приложение для контроля над уровнем заряда автоматического замка знаёт PIN-код для его разблокировки.
Программы SmartApps также могут создавать сообщения, которые выглядят как реальные сигналы от физических устройств. Это позволяет злоумышленникам передавать пользователям недостоверную информацию — например, о том, что замок закрыт, хотя на самом деле дверь разблокирована.Кроме того, дома будут продаваться вместе с большинством умных устройств. Выставляя на продажу телефон или ноутбук, мы очищаем его память от файлов и удаляем все учётные записи. В случае с переездом то же самое придётся делать с домом. С другой стороны, покупателям, возможно, нужно будет задумываться ещё и о том, что предыдущие хозяева могут оставить себе лазейки для доступа к смарт-приборам.
Чтобы обезопасить себя от взлома, необходимо полностью поменять своё отношение к устройствам, подключенным к интернету, даже если это самые банальные бытовые предметы. Кто мог подумать ещё несколько лет назад, что атака на систему начнётся с кофеварки или зубной щётки? Теперь же это реальная угроза, поэтому все приборы, подключенные к сети, должны быть защищены одинаково хорошо.
Экономическое наблюдение
Даже если ваш дом никогда не станет объектом злонамеренной атаки, существует другая проблема — передача конфиденциальной информации на серверы компаний, которые занимаются разработкой и поддержкой умных устройств. Этой проблеме было посвящено выступление на TED Talks, основанное на эксперименте Кашмиры Хилл (Kashmir Hill) и Сурии Матью (Surya Mattu).Кашмир сделала из однокомнатной квартиры в Сан-Франциско умный дом, в котором было установлено 18 устройств, подключенных к интернету: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и т.д. Сурия создал специальный роутер, который отслеживал всю сетевую активность и регистрировал данные, поступающие в умный дом и покидающие его. Целью исследования было понимание того, какую информацию устройства передают производителям, и что могут узнавать интернет-провайдеры, которые обеспечивают доступ в интернет. Важно было понять и то, какие данные компании могут продать.
Эксперимент над домом Кашмиры и её мужа Тревора продолжался в течение двух месяцев. По словам исследователей, за эти 60 дней не было ни минуты цифровой тишины. С помощью роутера, регистрирующего все сигналы от умных устройств, Сурия узнавал, когда хозяева квартиры ложились спать и просыпались, чистили зубы, готовили кофе. Он мог посмотреть, когда они включали телевизор, сколько его смотрели и какие программы пользовались у них наибольшей популярностью.
Самым разговорчивым устройством в доме оказалась колонка Amazon Echo, которая отправляла запросы на сервер каждые три минуты вне зависимости от того, использовали её или нет. В целом, все приборы вели непрерывные разговоры, о которых хозяева даже не подозревали. При этом большая часть данных, которые поступали на серверы компаний, может быть использована в коммерческих целях.
В своём выступлении исследователи рассказали о том, как разработчики некоторых устройств применяют полученную от пользователей информацию.
- Компания Vizio, предоставляющая услуги телевидения, только в 2017 году заплатила 2,2 млн долларов правительству США за то, что собирала данные о том, как американцы смотрят телевизор, а затем продавала их рекламодателям.
- Стоматологическая страховая компания Beam следит за умными щётками своих клиентов с 2015 года и рассчитывает размер страховки, исходя из полученной информации.
- Производители секс-игрушки We-Vibe, которая с помощью синхронизации через интернет позволяет людям заниматься любовью на расстоянии, знают, когда и как долго её используют, а также какими настройками вибрации пользуются чаще всего. Эта информация используется в маркетинговых целях для увеличения продаж, при этом пользователи даже не подозревают, что их оргазмы анализируются, пусть и в виде мета-данных.
Безопасность — общая проблема владельцев умных домов
Умных устройств в домах людей со временем будет становиться только больше. Уже сейчас эксперты по безопасности пытаются объяснить обычным пользователям, что установка таких приборов равносильна приглашению компаний, а иногда и злоумышленников, в места, которые всегда были максимально приватными: гостиную, спальню, ванную комнату. Чтобы снизить риск вторжения в частную жизнь, нужно следовать хотя бы минимальному набору правил безопасности.- Убедитесь в том, что вам известна функциональность устройства: что оно делает, какие привилегии имеет, какую информацию получает и пересылает.
- Регулярно устанавливайте обновления. Часто уязвимости обнаруживаются после старта продаж. Разработчики устраняют их и отправляют пользователям апдейты с более высокими показателями безопасности. Нажимая «Установить позже», вы подвергаете систему рискам, которых можно было легко избежать.
- Помните о фишинге: относитесь с недоверием к сообщениям от незнакомых отправителей и ссылкам непонятного происхождения. Получив доступ к сети, злоумышленник сможет управлять всеми подключенными к ней устройствами.
- Выбирайте надёжные пароли и используйте двухфакторную аутентификацию.
- Используйте только официальные приложения от разработчиков интеллектуальных систем управления домом.
- Следите за тем, чтобы телефон, планшет или другое устройство, имеющее доступ к управлению умным домом, не попадало в чужие руки. При его потере необходимо полностью поменять настройки безопасности всей системы.