Nicolai Busekist
Glem alt om, at det kun er din telefon, der overvåger dig – måske burde du i stedet bekymre dig lidt mere om din støvsuger.
I et opslag på sin blog Small World beskrev computerprogrammøren og elektronikentusiasten Harishankar Narayanan en opsigtsvækkende opdagelse om sin robotstøvsuger til 300 dollars: Den sendte personlige data ud af hans hjem.
Narayanan havde i omkring et år ladet sin iLife A11, som er en populær robotstøvsuger, gøre rent som normalt, før han blev nysgerrig på, hvordan den egentlig fungerede.
“Jeg er en smule paranoid – på den gode måde Derfor besluttede jeg at overvåge dens netværkstrafik, som jeg ville gøre med ethvert smartapparat,” skrev han ifølge Futurism
Efter få minutter opdagede han en ‘stabil strøm’ af data, der blev sendt til servere ‘på den anden side af kloden’.
“Min robotstøvsuger kommunikerede konstant med producenten og sendte logfiler og telemetridata, som jeg aldrig havde givet tilladelse til at dele. Det var dér, jeg lavede min første fejl: Jeg besluttede at stoppe det,” forklarede Narayanan.
Han standsede støvsugerens dataoverførsel, men lod anden nødvendig netværkstrafik, som firmwareopdateringer, fortsætte. Støvsugeren fungerede et par dage, indtil den en morgen nægtede at starte.
“Jeg sendte den til reparation. Servicecentret forsikrede mig: ‘Den virker fint her, hr.’. De sendte den tilbage, og mirakuløst fungerede den igen i nogle dage – indtil den døde på ny,” skrev han.
Denne proces gentog sig flere gange, indtil værkstedet nægtede yderligere reparationer, fordi garantien var udløbet.
“Og sådan forvandlede min robotstøvsuger til 300 dollars sig til en stopklods,” skrev han.
Da han stadig var nysgerrig, besluttede Narayanan sig for at skille støvsugeren ad for at finde svaret. Gennem en tidskrævende proces, hvor han rekonstruerede printplader og testede sensorer, gjorde han en chokerende opdagelse: Android Debug Bridge – et program, der bruges til at installere og fejlfinde apps – var helt åbent for adgang.
“På få sekunder havde jeg fuld root-adgang. Ingen hacks, ingen udnyttelser. Bare plug and play,” forklarede han.
Efter flere forsøg lykkedes det ham at oprette forbindelse fra sin computer til støvsugerens system. Her fandt han en endnu større overraskelse: Enheden brugte Google Cartographer, som er et open source-program, der skaber et 3D-kort over hjemmet – data, som den sendte tilbage til producenten.
Derudover fandt Narayanan en mistænkelig linje kode, som var sendt fra virksomheden til støvsugeren på det præcise tidspunkt, hvor den stoppede med at virke.
“Nogen – eller noget – havde sendt en fjernstyret ‘kill command’,” skrev han.
“Jeg gendannede scriptet og genstartede enheden. Den vågnede øjeblikkeligt til live igen. De havde ikke bare tilføjet en fjernstyringsfunktion – de havde brugt den til permanent at deaktivere min enhed.”
Kort sagt hævder Narayanan, at virksomheden ‘havde magten til at deaktivere enheder eksternt og brugte den mod mig, fordi jeg blokerede deres dataindsamling. Uanset om det var bevidst straf eller automatisk håndhævelse af overholdelse, var resultatet det samme: En enhed vendte sig mod sin ejer’.
Narayanan advarede også om, at ‘snesevis af robotstøvsugere’ sandsynligvis fungerer på en lignende måde.
“Vores hjem er fyldt med kameraer, mikrofoner og mobile sensorer, der er forbundet til virksomheder, vi knap nok kender – alle kan potentielt misbruges med én linje kode,” skrev han.
Til sidst konkluderede han, at historien er en tydelig påmindelse om, at teknologi drevet af profit ofte har en skjult pris – og den stopper ikke, når man har betalt ved kassen.
