Как хакнуть матрас: три способа

Опубликовано: Статьи


Что собой представляет

Производители продолжают активно работать над тем, чтобы подключить к интернету повседневные вещи. На этот раз был представлен умный матрас, который имеет достаточно много функций. Разработчики Eight Sleep позиционируют свою систему как полноценный инструмент для решения различных проблем со сном. Исследования показывают, что таких людей достаточно много – плохой сон, храп, бессонница и другие моменты, которые могут в будущем привести к серьезным проблемам.

Разработка представляет собой наматрасник, который способен менять температуру по команде от внешнего устройства (хаба). В качестве теплоносителя используется вода, которая по небольшим трубкам циркулирует по наматраснику, нагрев осуществляется при помощи внешнего блока. При этом предусмотрено две независимые зоны, для которых можно установить нужную температуру. В описании указано, что диапазон температур составляет от 12 до 43 градусов.

Но разработчики и на этом решили не останавливаться. Наматрасник также комплектуется набором сенсоров для отслеживания качества сна, а само устройство поддерживает режим автоматической работы с учетом установленной программы. Есть даже возможность реализовать будильник – для этого предусмотрен набор вибромоторов.

Общая схема схема стандартна – есть модуль Wi-Fi, при помощи которого осуществляется подключение к домашнему роутеру. На мобильное устройство устанавливается мобильное приложение, через которое осуществляется настройка. Только самая дорогая версия предусматривает отдельные сенсорные зоны по бокам наматрасника, которые позволяют менять режим работы.

Главная «фишка» устройства – система Autopilot, которая в режиме реального времени собирает информацию о режиме сна, генерирую подробные отчеты. Кроме этого реализовано еще ряд интересных функций. К примеру, если пользователь начинал храпеть, Autopilot может менять положение подвижной основы, если данный модуль используется. В большинстве случаев этого достаточно для борьбы с храпом.

Однако основная рекламируемая функция – режим «автопилота». Датчики отслеживают основные параметры и подстраивают температурный режим, обеспечивая глубокий сон.

Недостатки устройства

Основной функционал доступен только после оформления подписки, ее стоимость составляет 200 долларов в год. При этом на официальном сайте прямо указывается, что Eight Sleep в процессе работы собирает информацию о пользователях.

Также присутствуют проблемы с безопасностью, как и с любыми умными устройствами, которые имеют подключение к сети. Изучил уровень защищенности специалист по информационной безопасности Дилан Эйри, результат, оказался вполне предсказуемый.

Для начала исследователь планировал найти файл прошивки, поскольку обычно компании не предоставляют исходный код программной части. Обусловлено это как раз необходимостью защитить файлы от анализа со стороны злоумышленников. Однако в этом случае ситуация оказалась иной – образ прошивки доступен для свободной загрузки на официальном сайте.

Изучив полученный код, специалист сразу обнаружил ряд потенциальных брешей в системе безопасности. В частности был реализован полноценный API для доступа к системе по протоколу SSH. Поскольку исходное устройство представляет собой полноценный мини-компьютер под управлением ОС Linux, данная функция позволяет удаленно подключаться к системе и запускать на машине произвольный код. Уже данный факт указывает на слабую защищенность системы.

Дальнейший анализ показал, что к коде присутствует адрес почты, привязанный к публичному SSH-ключу. Данный признак часто указывает на то, что удаленный доступ к устройству обеспечен группе разработчиков. Теоретически, такое подключение позволяет собирать определенную информацию о пользователе, например, когда человек спит. Также уже можно осуществлять различные деструктивные действия – менять режим будильника, менять температуру, поднимать основание и так далее.

Конкретно с данными устройствами таких инцидентов пока не зафиксировано. Однако аналогичные атаки на другие устройства периодически происходят. В качестве примера можно привести массовые взломы роботов-пылесосов Ecovacs. Хакеры использовали уязвимости в прошивке, чтобы осложнять жизнь их владельцам.

Вторая уязвимость – наличие ключа AWS в коде

Дальнейший анализ уровня защищенности привел к обнаружению в коде реального ключа AWS (расшифровывается как Amazon Web Services). Данный ключ используется системой для загрузки в облако информации с датчиков. Теоретически, наличие такого ключа у злоумышленников позволяет получить доступ к персональной информации.

На момент публикации Дилан Эйри уже передал результаты анализа разработчикам, компания уже отозвала ключ. Однако такое отношение к безопасности позволяет предположить, что в коде могут быть и другие опасные уязвимости.

Отвязка от облака

На следующем этапе работа была направлена на поиск способа отвязать устройство от облака. К вопросу он подошел кардинально – принял решение отключить внешний блок с электроникой от наматрасника. В качестве альтернативы использовался обычная система терморегулирования воды в аквариуме. Такие устройства стоят относительно недорого, не требуют подключения к сети и не собирают информацию о пользователях. При этом обеспечивается возможность регулировать температуру в широких пределах.

Если необходимо оставить возможность регулировать температуру через мобильное приложение, то можно воспользоваться ПО Free Sleep. Программа распространяется с открытым исходным кодом, обеспечивая все необходимые «умные» функции.

Похожие записи:

  1. Дипломный проект — парсер на Python для каталога Литрес
  2. Источники бесперебойного питания – какие бывают и как выбрать
  3. ВКР Разработка чат-бота для информационного взаимодействия
  4. Как сбрасывать счетчики на принтере: инструкция для популярных моделей


Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: