Хакеры через роботы-пылесосы Xiaomi могут прослушивать их хозяев

Дата: 24.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры через роботы-пылесосы Xiaomi могут прослушивать их хозяев

Специалисты Университета Мэриленда и Национального университета Сингапура провели расследование, по результатам которого было выяснено, что роботы-пылесосы Xiaomi могут использоваться в качестве шпионского оборудования.

Эксперты отмечают, что злоумышленники, в теории, могут настроить лидары в роботах-пылесосах от известного китайского производителя так, чтобы они считывали вибрации от звуковых колебаний на поверхностях. Говоря простым языком, это позволит эксплуатировать пылесос в качестве шпионского устройства.

Дело заключается в том, что современные роботы-пылесосы, чтобы ориентироваться в пространстве помещений, применяют всевозможные программные решения и инструменты. В ряде недорогих моделей применяются лидары – это специальные сенсоры, с помощью которых определяется дальность до конкретного объекта с использованием лазерных импульсов. Специалисты на практике доказали, что лидары могут быть перенастроены так, чтобы они реагировали в том числе и на звуковые колебания.

Дополнительно отмечается, что атака такого типа может быть проведена удаленно – в тех случаях, когда робот-пылесос в процессе своей работы обменивается с облачными сервисами данными, получая оттуда инструкции и обновления. В частности, таким функционалом располагает модель Xiaomi Roborock S5.

Исследователи Университета Мэриленда, воспользовавшись результатами работы других специалистов, которые ранее взламывали устройства IoT от Xiaomi, выполнили обратную разработку применяемой в роботах-пылесосах программно-аппаратной оболочки на основе процессора ARM Cortex-M. А затем с использованием программного стэка Dustcloud получили root-доступ к пылесосу. Специалистам также удалось перехватить контроль над интерфейсом для обмена данными с облачным сервисом, что позволило им удаленно контролировать устройство.

После этого исследователи пошли еще дальше – они смогли создать вспомогательную аппаратную схему, с помощью которой встроенный в робот-пылесос лидар запускал лазер, даже при нахождении в статичном положении. Специалисты отметили, что успешное проведение кибератаки не требует аппаратных модификаций – это было сделано просто для удобства.

Проведенные с устройством Xiaomi манипуляции позволили исследователям с точностью до 91% считывать звуковые сигналы из окружающего пространства. Специальное ПО смогли из собранных сигналов распознать музыкальные треки, которые играли в телевизоре, аудиофайлы, которые проигрывались через компьютерные колонки, а также человеческую речь. Исследователи заметили, что считывание звуковых сигналов может быть серьезно затруднено из-за фоновых шумов и условий освещенности.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *