Краткий гид по взбесившимся гаджетам

Как хакеры взламывают умную технику
Unsplash

Роботы-пылесосы нецензурно ругаются и охотятся за домашними животными, домофоны подсматривают за жильцами. Кажется, что привычная нам техника и электронные гаджеты стремительно становятся все более опасными... На эту тему мир заговорил после взрыва техники на Ближнем Востоке, предназначенной для «Хезболлы».

Оскорбляющий пылесос

Почти одновременно стала известна другая история о гаджетах, не такая опасная, но не менее удивительная: в США начали выходить из-под человеческого контроля роботы-пылесосы.

Адвокат из Миннесоты Дэниел Свенсон смотрел телевизор, когда его робот-пылесос начал бормотать что-то невнятно-оскорбительное. Свенсон перезагрузил машину, но в итоге ругательства стали только четче. Из сказанного пылесосом адвокат смог разобрать, как тот оскорбляет его жену и их 13-летнего сына за белый цвет кожи. Свенсон от греха подальше выключил робота.

Похожие инциденты произошли еще в нескольких городах. При этом в Лос-Анджелесе пылесос не только ругался, но и гонялся по всему дому за собакой владельца. Во всех случаях неадекватного поведения роботов-пылесосов причиной стала хакерская атака, направленная на одну и ту же модель: сделанный в Китае Ecovacs Deebot X2.

Как оказалось, еще в декабре 2023 г. на хакерской онлайн-конференции было наглядно продемонстрировано, как взламывать эту модель. Показ провели так называемые «белые хакеры» – специалисты по кибербезопасности, которые находят уязвимость электронного устройства, после чего в надежде на вознаграждение или ради славы честно сообщают об этом компании-производителю. Как только производитель решает проблему и устраняет уязвимость, «белые хакеры» принимаются хвастаться своим успехом перед всей компьютерной тусовкой. Но в этот раз в отработанной схеме что-то пошло не так, и в мае 2024 г. кто-то вновь начал взламывать Ecovacs Deebot X2 и теперь уже пугать вышедшими из под контроля пылесосами их хозяев. Известно об этих инцидентах стало только осенью: новость «попридержали», чтобы дать компании возможность исправить программное обеспечение.

Робот-вуайерист

Нецензурно ругающийся пылесос – весьма опасная вещь, как показал скандал с другим роботом-уборщиком, на этот раз от компании iRobot. В 2020 г. в интернете появились фотографии людей, сделанные в их квартирах и домах. Причем, судя по фото, люди явно не подозревали, что их снимают. Так, одна девушка была сфотографирована в туалете. Необычным был и ракурс съемки: снизу, с уровня пола.

Делали эти фотографии роботы-пылесосы Roomba J7 от компании iRobot. Но как на пылесосах появились камеры и зачем они там нужны? В 2002 г. шведская компания Electrolux выпустила первый робот-пылесос. Чтобы не врезаться в стены, пылесос использовал ультразвуковые датчики – если робот врезался в ножку стола, срабатывал датчик удара и пылесос разворачивался. Наконец, специальные датчики сигнализировали в том случае, когда край пылесоса терял контакт с полом. Это помогало устройству не падать с лестниц. Работал такой пылесос не очень хорошо. Некоторые участки пола он чистил по многу раз, а некоторые оставлял неубранными. И пылесосы стали оснащать более продвинутыми датчиками – лидарами (сенсоры, «видящие» объекты при помощи лазерных лучей, – такие установлены во многих автомобилях с автопилотами) или же видеокамерой. Искусственный интеллект распознает по картинке препятствия и объезжает их. Видеокамерами оснащены некоторые модели роботов-пылесосов iRobot, Ecovacs, Roborock, Samsung, LG, Dyson и др.

iRobot / Jens Büttner / dpa / picture-alliance

Но у каждой квартиры своя планировка и мебель, поэтому искусственный интеллект надо обучить узнавать и «понимать» пространство вокруг него. Для этого стоп-кадры, снятые пылесосом, просматривают люди, объясняет журнал MIT Technology Review. Они обводят предметы на снимках и подписывают, что это – стол, стул, нога человека, кошка… На такую работу, как правило, подрядчики нанимают людей в странах с низкой оплатой труда. iRobot использовал труд венесуэльцев. А те, видимо, для того чтобы как-то скрасить свою однообразную работу, создали форум и начали выкладывали туда самые интересные и пикантные сцены, попавшие в объектив камеры пылесоса. В какой-то момент эти фото утекли в сеть. В iRobot заявили, что самообучающиеся пылесосы использовались только в тех домах, чьи хозяева согласились за вознаграждение помочь компании в сборе данных. И что на каждом пылесосе была ярко-зеленая наклейка «Идет видеозапись». Но, видимо, добровольцам и в голову не могло прийти, что участие в обучении нейросети выльется в публикацию приватных фото их жизни в открытом доступе.

Когда MIT Technology Review захотели поговорить с такими добровольцами, iRobot отказал журналистам. После этого сотрудники издания прочитали пользовательское соглашение ряда производителей пылесосов и обнаружили расплывчатую формулировку, что производители вправе собирать информацию «для улучшения продукта и услуг». Большинство компаний отказались уточнить, что именно входит в эту формулировку. Но iRobot и Roborock подтвердили журналистам, что речь идет о данных для машинного обучения. Но это обезличенные данные, уточнили они.

Нередко доступ к видеокамерам, установленным на бытовые электронные устройства, получают хакеры. Так, например, было и в случае с пылесосом Ecovacs Deebot X2 адвоката Свенсона из Миннесоты.

Аквариум–мошенник

Американское казино установило «умный» аквариум с подключением к интернету. Можно было удаленно регулировать температуру и соленость воды, кормить рыб, а управление аквариумом доверили основному компьютеру казино. Хакеры, проникнув в компьютер через взломанный термостат аквариума, выкачали 10 гигабайт данных о работе казино и его посетителях. Компания кибербезопасности Darktrace, которая в итоге обнаружила взлом, отказалась раскрыть название пострадавшего от хакеров клиента.

«Белые хакеры» из Берлинского технического университета смогли в прошлом году превратить Tesla в минимальной комплектации в Tesla в премиальной комплектации. Многие дополнительные опции, встроенные в этот автомобиль, активируются только после того, как владелец доплатит за их использование. Например, включить функцию автопилота можно за $15 000. Но берлинским хакерам удалось активировать эту услугу бесплатно. Сколько водителей таким образом втихаря апгрейдили свой автомобиль, неизвестно – и Tesla тоже предпочитает об этом не упоминать.

Некоторые вполне правдоподобные истории о взломах, наоборот, оказываются фейками. В августе в СМИ писали о том, как хакеры впервые в истории взломали сразу 3 млн умных зубных щеток, Представляете: вы чистите зубы и ваша зубная щетка одновременно атакует сайт швейцарской компании? Приводились цифры, на сколько времени был парализован сайт жертвы и какой ущерб был нанесен. В итоге оказалось, что источник слухов – статья в швейцарской газете Aargauer Zeitung. Эксперт этого издания размышлял о некоей гипотетической ситуации. При переводе текста статьи (возможно, машинном) теория превратилась в реальную атаку, и СМИ разнесли эту новость по всему миру.

25-летний американец Энди Андреас недавно признался в сети X, что еще много лет назад взломал автомойку в Черногории. И каждый раз, когда ему становится грустно, дистанционно включает щетки в автомойке на другом конце света.

Развратный домофон

В прошлом году производитель видеодомофонов Ring (принадлежит компании Amazon) согласился выплатить $5,8 млн компенсации за то, что его сотрудники и подрядчики подглядывали за клиентами, сообщает TechCrunch. В судебном иске против компании утверждается, что как минимум за одной женщиной таким образом следили на протяжении нескольких месяцев.

В 2019-2020 гг. учетные данные более 55 000 клиентов Ring утекли в сеть. Сложно сказать, много ли хакеров со всего мира подглядывали за чужой жизнью. Но немало злоумышленников не удержались и принялись пугать жертв. Женщине в доме престарелых домофон заявил, что сегодня вечером она умрет, после чего принялся демонстрировать порно на экране. Один из злоумышленников представился восьмилетней девочке Санта-Клаусом и спросил, не хочет ли она стать его лучшим другом. Другой девочке хакер через домофон поставил музыку из фильма ужасов «Астрал». К счастью, ребенок не был искушен в кинематографе и не испугался. Наоборот, девочка пошла искать источник звука, а подоспевшая мама отключила гаджет.

Видеодомофон Ring / ring.com

К некоторой радости пользователей, хулиганить подобным образом становится все труднее – защита гаджетов улучшается, и для ее взлома нужны все более профессиональные навыки. Серьезные хакеры, как правило, не размениваются на то, чтобы гоняться при помощи пылесоса за собакой или разговаривать из домофона с жильцами, – домашняя техника нужна им для организации DDoS-атак. Множество устройств одновременно посылают запросы на сайт жертвы, перегружая его и тем самым выводя из строя.

Хакеры были вынуждены переключиться на умные бытовые гаджеты, поскольку их первоначальная площадка для DDoS-атак – зараженные вирусом компьютеры и ноутбуки пользователей (сеть из них называют «ботнет») постепенно становятся все более защищенными благодаря антивирусам и усовершенствованиям защиты ПО.

Один из самых известных ботнетов Mirai появился в 2016 г. Первую жертву его автор выбрал символично: 24 000 зараженных устройств 72 часа подряд атаковали серверы крупной компании по кибербезопасности Krebs on Security. В итоге серверы были выведены из строя на несколько недель.

Вскоре хакер опубликовал в интернете исходный код ботнета Mirai, и использовать его стали все желающие. Кто-то атаковал американского провайдера Dyn, который обслуживал Netflix и Twitter. В итоге стриминговый сервис и соцсеть были недоступны неделю. А однажды ботнет оставил без интернета целую страну, Либерию – сеть атаковала местные телекоммуникационные компании, что привело к масштабному отключению связи.

В 2017 г. создателя Mirai, гражданина США Фараса Джа, задержали и осудили на 10 лет. Но дело его живет – в сентябре этого года ФБР пресекло работу гигантского китайского ботнета Raptor Train, заразившего более 260 000 сетевых устройств. Он создан на базе Mirai и работал с 2020 г., атакуя серверы американских военных объектов, госструктур, вузов и других объектов.