Крупный производитель домашней робототехники не смог устранить проблемы безопасности своих роботов‑пылесосов, хотя получил предупреждение о рисках ещё в прошлом году. Даже не заходя в здание, нам удалось получить снимки владельца устройства (разумеется, с его согласия). А дальше всё стало ещё хуже…

Роботы‑пылесосы бесконтрольно перемещаются по тысячам домов во всём мире. Обычный австралиец Шон Келли тоже решил купить себе такой, чтобы облегчить домашние хлопоты, ведь у них с женой близнецы и пятимесячный малыш. И выбрал он модель, произведённую крупнейшей в мире компанией по производству домашней робототехники: Ecovacs.

Шон остановился на флагманской модели Deebot X2, полагая, что с ней он может рассчитывать на максимальную безопасность, которую только можно купить за деньги. Oh my sweet summer child, как же ты ошибался!

Его робот оказался уязвимым для удалённого взлома, а компания Ecovacs ничего не предприняла, несмотря на предупреждение, полученное ещё в декабре 2023 года.

По сути оказалось, что он приобрёл веб‑камеру, которая ездит по дому и следит за его семьёй. Я позвонил Шону, чтобы сообщить ему неприятные новости про его пылесос и спросил, не будет ли он против, если я взломаю его робота.

Честно говоря, лично я взламывать технику не умею, мне понадобилась помощь Денниса Гиса, исследователя в области безопасности, который провёл много лет за потрошением роботов‑пылесосов.

Недавно он нашёл способ взять под контроль целый модельный ряд роботов Ecovacs, включая газонокосилки и пылесосы Deebot, с помощью одного лишь смартфона.

Деннис Гис — независимый исследователь безопасности и конфиденциальности. 

И ему даже не пришлось к ним прикасаться — он мог сделать это полностью по Bluetooth, на расстоянии до 140 метров. О своих выводах Гис объявил на хакерской конференции в Лас‑Вегасе. Я связался с ним по электронной почте и спросил, не может ли он помочь мне взломать робот‑пылесос.

«Я могу собрать для тебя payload», — написал он в ответ.

Это позволит «запускать что угодно» на некоторых устройствах Ecovacs с поддержкой Bluetooth, включая флагманскую модель X2 Шона, которая продаётся по цене $2500.

По словам Гиса, как только я подключусь к устройству по Bluetooth, у меня появится полный доступ к встроенному компьютеру и, соответственно, ко всем подключенным к нему датчикам. «Можно будет получить доступ ко всем журналам, учётным данным WiFi и полный доступ к сети», — обрадовал меня Гис. Значит, я смогу получить доступ к «узлам камеры и микрофона».

Жена Шона была категорически против того, чтобы мы взламывали устройство у них дома. Поэтому мы решили вместо этого протестировать его на офисной кухне. Итак, на четвёртом этаже огромного здания с толстыми бетонными стенами Шон включает в розетку свой робот‑пылесос.

Шон Келли установил свой робот-пылесос на четвертом этаже этого офисного здания.

Я сижу в парке прямо за окном. С такого расстояния сигнал Bluetooth слабый; мне приходится подходить ближе к забору, чтобы связь была лучше. Офис Шона находится на оживлённой улице недалеко от центра Брисбена, и прохожие странно на меня смотрят, когда я поднимаю телефон к небу.

Вскоре на моем телефоне появляется его устройство с подписью «ECOVACS».

И вот мы в деле.

Наверху Шон готовит себе чашечку кофе.
Эти фотографии начинают транслироваться на мой ноутбук в режиме реального времени.
Когда робот начинает перемещаться по комнате, чтобы убраться, в кадр попадает лицо Шона.
Робот продолжает путешествие по незнакомой кухне, в кадр попадают ноги.

Робот не воспроизводит предупреждающий звук о старте «записи камеры» — похоже, этот сигнал воспроизводится только в том случае, если доступ к камере осуществляется через приложение Ecovacs. Но сам Шон в курсе и ожидает, что я буду за ним наблюдать, ведь он сам согласился на это менее часа назад.

Но он не знает, что мы добавили секретную функцию. И когда момент кажется подходящим, мы совершаем маленькую шалость. «Привет, Шон», — говорит роботизированный голос. «Я слежу за тобой».

Глаза Шона расширяются, когда его робот произносит его имя. Ему вроде и смешно, а вроде и не очень.

Шон Келли смеется от удивления, когда его робот говорит, что наблюдает за ним

«Это безумие», — говорит он, глядя на робота. Как будто не узнаёт свой собственный пылесос. Устройство беспрепятственно ползало по его дому большую часть года, потенциально предоставляя предприимчивым хакерам возможность подглядывать.

Показываю Шону фотографии, сделанные его роботом-пылесосом. 

Пока я подключался к роботу Шона из парка за окном, настоящий взлом происходил с другой стороны планеты. В Германии Гис оставался на связи на протяжении целого часа и помогал дёргать за ниточки. Было несколько неудачных попыток, но потом всё получилось.

— Готово, отправил [payload]. Получилось?

— Ха-ха, я захожу. А теперь давай украдём их самые страшные секреты.

Гис, конечно же, шутил, когда говорил о краже данных Шона. Но в том, что у него получилось зайти на бортовой компьютер пылесоса, он был совершенно серьёзен. Фотографии передавались на его сервер в США, и он просматривал их (находясь в своей квартире в Берлине) в то же время, что и я. «Хороший офис», — написал он мне.

Заглядывает в офис в Брисбене, находясь в Берлине

«Я удивился, что робот двигается и при этом имеет доступ к камере», — сказал Гис позже.

После того, как я отправил стартовую команду по Bluetooth для получения доступа, нам обоим уже не нужно было находиться рядом с роботом, чтобы продолжать наблюдение через его камеру.

Не все уязвимости, которые обнаружил Гис, были одинаково проблемными — как для Ecovacs, так и для других брендов. Многие требовали физического подключения к роботам или даже разбора их на части, чтобы добраться до внутренностей.

Об угрозах с низким уровнем риска он не сообщает. Но та, которой мы занимались сейчас, была особенно чувствительной. Гис быстро уведомил Ecovacs, заявив, что обнаружил серьёзную уязвимость системы безопасности, которую можно устранить удалённо. Он не стал раскрывать конкретные подробности, поскольку не хотел передавать их по незащищённому каналу, и до сих пор не опубликовал их в свободном доступе.

Это было в декабре 2023 года. Десять месяцев назад. Но ответа так и не получил. Компания позже всё‑таки проснулась и отписала, что они случайно пропустили декабрьское письмо. Но для компании с оборотом в миллиард долларов, которая в настоящее время является лидером рынка, это немного тревожно.

Интерес Гиса заключается в получении доступа к устройствам, а не в шпионаже за людьми, использующими их. Тем не менее, ему потребовалась всего пара часов, чтобы разобраться, как делать фотографии, отправлять их на свой сервер и воспроизводить свою аудиозапись через его динамики.

В какой‑то момент нашего эксперимента Гис в шутку предложил навсегда вывести компьютер пылесоса из строя, показывая тем самым, какой вред он может нанести на самом деле.

— Ладно, позволь мне сделать что‑нибудь страшное. Стоит ли мне превратить его робота в кирпич?

— Ха-ха-ха, нет, нет. Нам достаточно просто его его взломать.

В конце концов, мы всё исправили. На устройстве Шона не осталось никаких следов, и он забрал своего робота домой, озадаченный такой угрозой конфиденциальности жизни его семьи. Теперь он набрасывает на робота полотенце, когда тот не используется. Эксперимент стал тревожным звонком для Шона, но риски для конфиденциальности в современном мире выходят далеко за рамки одного продукта.

«Люди не считают свою посудомоечную машину роботом», — говорит доктор Дональд Дансеро, старший преподаватель Австралийского центра робототехники при Сиднейском университете. — «Мы живём в обществе, переполненном камерами».

Именно роботы‑пылесосы получили пристальное внимание, потому что они слишком заметны. Но на самом деле камеры повсюду, например, в машинах, которыми заполнены улицы. А когда камеры повсюду, возникают вопросы о том, насколько защищён отснятый материал.

Изначально компания Ecovacs заявила, что её пользователям «не стоит чрезмерно беспокоиться» по поводу исследования Гиса. После того, как он впервые публично раскрыл уязвимость, комитет по безопасности компании преуменьшил значимость проблемы, заявив, что для её воспроизведения требуются «специализированные хакерские инструменты и физический доступ к устройству».

Трудно сопоставить их заявление с реальностью. Всё, что потребовалось, это мой смартфон за 300 долларов, и я даже не видел робота Шона, пока не взломал его.

Ecovacs в конечном итоге заявила, что устранит эту проблему безопасности. На момент публикации только некоторые модели были обновлены для предотвращения этой атаки. Но несколько моделей, включая последнюю флагманскую модель, выпущенную в июле этого года, остаются уязвимыми.

Ecovacs X2 уязвим для взлома на расстоянии более 100 метров.

Очевидно, что робот Шона — один из них. И всё же компания не предупредила его о недостатках безопасности, влияющих на его устройство. После того, как я рассказал Ecovacs о нашем эксперименте, представитель компании сообщил, что обновление для X2 будет доступно в ноябре 2024 года.

Мне стало интересно, кто в ответе за то, чтобы эти подключённые к интернету устройства были действительно безопасными? Оказывается, в Австралии нет обязательных правил, гарантирующих невозможность взлома смарт‑устройств. В прошлом году Министерство внутренних дел опубликовало добровольный кодекс практики, соблюдение которого «поощряется, но необязательно».

Это означает, что компании, производящие устройства для продажи в Австралии, включая Ecovacs и другие компании, занимающиеся домашней робототехникой, не обязаны проводить тестирование своей продукции на предмет защищённости даже от самых простых уязвимостей.

Однако компания Ecovacs действительно провела испытания X2 и получила сертификат безопасности от немецкой компании TÜV Rheinland. Робот был протестирован на соответствие стандарту кибербезопасности с броским техническим названием ETSI EN 303 645, который предлагается частично принять в рамках Стратегии кибербезопасности Австралии.

Большинство компаний, занимающихся выпуском домашней робототехники, включая Ecovacs, Xiaomi, iRobot и Roborock, регулярно сертифицируют свою продукцию по этому стандарту, и во многих странах это является базовым требованием. И это, по словам Гиса, «самое страшное».

Он обнаружил, что устройства Ecovacs чрезвычайно уязвимы для взлома, несмотря на то, что они сертифицированы как безопасные. Гис обнаружил эти уязвимости безопасности потратив просто немного свободного времени. То же самое сделали Брелинн Людтке и Крис Андерсон, два других независимых исследователя. Так почему же многонациональная компания, которая должна была его тестировать, этого не сделала?

Я обратился в TÜV Rheinland, чтобы выяснить это. В ответ на мои вопросы о процессах тестирования Александр Шнайдер из TUV Rheinland направил меня к цифровому сертификату, в котором практически полностью отсутствовала информация о том, как именно проводилось тестирование.

«Мы уверены, что наши испытания соответствуют всем аспектам стандарта», — говорится в заявлении Шнайдера. Гис, в свою очередь, утверждает, что по крайней мере пять из 13 положений стандарта не были соблюдены Ecovacs X2, когда он его тестировал.

По словам Шнайдера, уязвимости, обнаруженные Гисом, не были изучены в ходе тестирования, «поскольку они относятся к сфере профессиональных хакерских атак». Он говорит, что сертификация TUV Rheinland не гарантирует предотвращения кибератак со стороны серьёзных хакеров. Ну а кто тогда, по их мнению, обычно осуществляет взлом?

Ищу второе мнение

Лим Юн Чжи, бывший испытатель кибербезопасности в конкурирующей сертификационной компании TÜV SÜD, имеет практический опыт сертификации роботов-пылесосов по тому же стандарту. По его словам, процесс тестирования в значительной степени «оставлен для интерпретации» сертифицирующими компаниями.

Он уверен, что тестировщикам не обязательно проводить «глубокие или профессиональные атаки».

Лим Юн Чжи (третий справа) был тестировщиком кибербезопасности в TÜV SÜD в течение пяти лет. 

Такая позиция объясняется тем, что подобные продукты очень быстро выводятся на рынок. Хотя стандарт и указывает на необходимость наличия общих функций безопасности, явного требования об их правильной реализации нет. Всё зависит от опыта лаборатории, а также от персонала, который работает с устройством для тестирования кибербезопасности.

Часто тестирование проводится до выпуска продукта, в то время как новые, непредвиденные киберугрозы возникают постоянно.

Программное обеспечение, работающее на интеллектуальных устройствах, необходимо регулярно обновлять, чтобы быть в курсе последних известных проблем. И каждая новая версия программного обеспечения, загруженная в робота, может потенциально привнести новые уязвимости.

По словам Лима, было бы нецелесообразно проводить независимое тестирование каждой новой версии, поскольку на завершение этого процесса могут уйти месяцы. Но, конечно же, маркировка продукции, показывающая, что устройства соответствуют стандартам сертификации, может создавать у потребителей «ложное чувство безопасности».

Представитель Министерства внутренних дел Австралии заявил, что правительство планирует ввести обязательные стандарты безопасности для смарт‑устройств, а также меры по обеспечению их соблюдения, которые «предотвратят продажу в Австралии несоответствующих требованиям устройств». Он не прокомментировал эффективность стандарта ETSI EN 303 645, который упоминался в материалах публичных консультаций в качестве потенциальной основы для принятия.

По мнению Денниса Гиса, самым тревожным аспектом атаки через Bluetooth является то, насколько сложно её обнаружить. «Если вы сделаете всё очень тихо, жертва никогда об этом не узнает». Предупреждающий о видеорежиме звук не воспроизводится. Робот-пылесос продолжает уборку в обычном режиме. Взлом не оставляет следов на устройстве. Поэтому вы никогда не узнаете, не используют ли какие-нибудь подозрительные компании ваши снимки для своих гнусных целей. А они, как оказалось, используют.

ИИ учится на украденных данных

Фотографии, видео и голосовые записи, сделанные в домах клиентов, как оказалось, используются для обучения моделей искусственного интеллекта компании.

Компания-производитель заявила, что её пользователи «охотно участвуют» в программе по улучшению продукции. Когда пользователи соглашаются на участие в этой программе через приложение Ecovacs для смартфонов, им не сообщают, какие данные будут собираться, а лишь то, что они «помогут нам улучшить функции и качество продукта».

Пользователям предлагается нажать «выше», чтобы прочитать подробную информацию, однако на этой странице ссылка отсутствует.

Политика конфиденциальности Ecovacs, доступная в другой части приложения, допускает полный сбор данных пользователей в исследовательских целях, включая:

  • 2D или 3D карта дома пользователя, созданная устройством

  • Записи голоса с микрофона устройства

  • Фотографии или видео, записанные камерой устройства

В нем также говорится, что голосовые записи, видео и фотографии, удалённые через приложение, могут по‑прежнему храниться и использоваться компанией Ecovacs.

Представитель Ecovacs подтвердил, что компания использует данные, собранные в рамках своей программы по улучшению продукции, для обучения своих моделей искусственного интеллекта. Критические уязвимости кибербезопасности, позволяющие взломать некоторые модели Ecovacs удалённо, ставят под сомнение способность компании защитить эту конфиденциальную информацию.

Даже если компания не действует злонамеренно, она сама может стать жертвой корпоративного шпионажа или действий государственных структур. В сообщении в блоге от 2020 года два инженера из отдела искусственного интеллекта компании Ecovacs Robotics так описали проблему, с которой они столкнулись: «Создание модели глубокого обучения без больших объёмов данных похоже на строительство дома без чертежей».

С общедоступными наборами данных возникает проблема, их просто не найти, ведь робот видит окружение «с земли». Поэтому компании потребовался собственный сбор данных. 

Инженеры Ecovacs описывают, как они обучают модели искусственного интеллекта компании

Представитель компании сообщил, что этот предварительный набор данных не содержит «реальной информации о домашнем хозяйстве пользователей». Однако с момента запуска продуктов они подтвердили, что данные пользователей, которые приняли участие в «Программе улучшения продуктов», используются для обучения модели искусственного интеллекта.

«Во время сбора данных мы анонимизируем информацию о пользователях, гарантируя, что на наши серверы загружаются только анонимные данные», — говорится в заявлении представителя. «Мы внедрили строгие протоколы управления доступом для просмотра и использования этих анонимных данных пользователей».

Но на деле изображения с роботов‑пылесосов уже попадали в сеть. В 2022 году в «запрещённой соцсети» были опубликованы интимные фотографии, сделанные устройствами iRobot, среди которых была и печально известная фотография человека, сидящего на унитазе. В данном случае роботы, сделавшие снимки, были частью программы тестирования, в которой приняли участие пользователи.

Представитель компании сообщил изданию MIT Tech Review, что это «специальные роботы разработки с аппаратными и программными модификациями, которых никогда не было и не будет в потребительских продуктах iRobot, доступных для покупки».

Устройства были физически помечены ярко‑зелёными наклейками (на них было написано «идёт видеозапись»), и пользователи дали согласие на отправку данных в iRobot для исследовательских целей.

Одно из просочившихся изображений, сделанных роботами-пылесосами Roomba

Одно дело — разрешить компании, базирующейся в США, доступ к изображениям устройства. Но совсем другое — когда фотографии попадают на сайт социальных сетей.

И тут возникает вопрос, как они там оказались.

Компания iRobot заключила контракт с компанией Scale AI, занимающейся данными для обучения искусственного интеллекта, на анализ необработанных отснятых материалов с целью обучения алгоритма обнаружения объектов.

По словам основателя Scale AI Алекса Ванга, его система обработки данных генерирует практически все данные, необходимые для работы ведущих крупных языковых моделей. Звучит очень серьёзно, но в реальности миллионы работников трудятся в условиях, далёких от идеальных.

Онлайн-аннотаторы данных часто работают в интернет-кафе.  Работники маркируют изображения, чтобы ИИ мог генерировать политиков и знаменитостей, редактируют фрагменты текста, чтобы языковые модели, такие как ChatGPT, не выдавали бессмыслицу.

Компания iRobot прекратила сотрудничество с Scale AI после того, как её подрядчики опубликовали фотографии в социальных сетях.

Нужны ли вообще роботам-уборщикам камеры высокой чёткости?

Исследователи из Австралийского центра робототехники разработали решение, которое может полностью избежать этой проблемы. Чтобы защитить конфиденциальные изображения от хакеров, была разработана технология, которая меняет «то, как робот видит мир».

По сути, это камера, изначально «сохраняющая конфиденциальность».

Поскольку изображение, полученное с помощью камеры, шифруется до неузнаваемости ещё до его оцифровки, злоумышленники не могут получить доступ к необработанным снимкам. Тем не менее, в зашифрованном изображении все ещё сохраняется достаточно информации, чтобы робот мог ориентироваться в пространстве. Технология пока ещё не готова к коммерциализации, но доктор Дансеро уверен, что её примут технологические компании.

Спасибо за внимание. Будьте бдительны.