Нещодавній шокуючий випадок ще раз нагадує про небезпеки китайських гаджетів.
Один з власників робота-пилосмока DJI Romo на ім’я Семмі Аздуфал (Sammy Azdoufal) вирішив написати свій софт для керування пристроєм за допомогою PS5-контролера DualSence. Чудова ідея, між іншим. Ще краще було б гейміфікувати нудний процес прибирання через геніальний Steam Deck.
Так от, щоб примусити свій додаток працювати, Семмі якось приєднався до серверів виробника і випадково отримав контроль над близько 6700 інших таких самий роботів-пилосмоків по всьому Світу, точніше – з 24 країн. І він міг цими пилосмоками не лише віддалено керувати, але також отримувати інформацію про іхню локацію, детальні карти приміщень, яку вони креслили для прибирання, ІР-адресу та інші дані.
Але навіть не це найстрашніше: у деяких випадках дослідник мав можливість слухати що відбувається у приміщеннях – і навіть дивитися на них через вбудовані відеокамери пилосмоків.
Фактично це 6700 безкоштовних шпигунів у 24 країнах. За кошти самих жертв.
Звісно, китайська компанія-розробник швидко пофіксила цю вразливість.
Але залишила гіркий післясмак та сумніви типу “А чи була взагалі система безпеки у цього китайського виробника?”
І головне: цей випадок є наочним підтвердженням того, що дані користувачів будь-яких китайських гаджетів – 100% передаються на китайськи сервери. До яких 100% мають доступ спецслужби комуністичного Китаю. Які 100% допомагають країні-агресору – тобто вони точно не союзники нам. А на фронті широко застосовуються Мавіки виробництва тієї ж компанії. Ну тобто китайські “товаріщі” мають вже величезний масив даних з Мавіків, але як його використовуються – хтозна поки що, неочевидно.
Ладно, на полі бою дані швидко застарівають, і далеко не всі можуть бути передані на китайські сервери, окей.
Але ж можливість прослухати та навіть побачити що відбувається у тисячах приміщень – це ж Клондайк для будь-якої спецслужби.
Це ж може бути квартира високопоставленого політика, міністра чи головнокомандувача військ. Або журналіста-розслідувача чи опозиціонера.
Через цей канал можна отримувати просто унікальну розвідінформацію, через яку можна суттєво спливати на цілу країну.
А можна використати для організації замаху на якусь ключову фігуру, адже точний план приміщення дуже допоможе потенційному кілеру.
Тому ще і ще раз повторюю: будь-які гаджети, які вироблені на території КНР або китайськими компаніями в інших країнах – це потенційне джерело витоку інформації. Навіть робот-пилосмок може стати шпигуном у вашому власному домі.
І ви самі за це заплатите.
Розумію, що у нашій сучасності важко повністю ізолюватися від китайських гаджетів. Але треба хоча б намагатися.
Подивіться зараз на вашу техніку у помешканні і з’ясуйте чи підключена (або теоретично може бути підключена) вона до Інтернету. І чи можна замінити її на американського чи європейського виробника.
Можливо (і скоріш за все), не-китайський виробник буде дорожчий. Але напевно це буде якісніше та головне – значно інфо-безпечніше.
Колись давно я таким чином замінив свій китайський робот-пилосмок на ЄСівського виробника. Так, заплатив дорожче. Але тепер китайський шпигун лежить у кладовці давно розряджений та неспроможний передати мої дані китайському таваріщу майору. А в ЄС хоча б діє GDPR.
Уряд КНР активно спонсорує своїх виробників щоб їхні гаджети були дешевшими за гаджети “західних” виробників. Щоб “простий нарід” їх покупав за принципом “так дешевше ж” – і не парився своєї інфобезпекою а-ля “та кому я там потрібен?”.
Якщо ви позиціонуєте себе саме з цієї категорії громадян – тоді вам не потрібно робити висновки з цього кейсу.
Якщо ж ви дійсно цінуєте свої персональні дані і не бажаєте бути інформаційним кормом для китайських спецслужб – слід якомога швидше позбавлялися китайських гаджетів. А особливо – китайського софта.
Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук