МОСКВА, 6 марта, ФедералПресс. Разработчик Аймилиос Хацистаму сообщил о проблеме безопасности в умной маске для сна, приобретенной на Kickstarter. В своем блоге он рассказал, что устройство передает данные о мозговой активности пользователей через MQTT-брокер, доступ к которому защищен общими логином и паролем для всех устройств производителя. Это позволяет получать данные не только своей маски, но и других пользователей.
«Случай показательный, но редкий – в конце концов, далеко не у каждого найдется даже обычная маска для сна, не говоря уже про настолько продвинутое устройство. Куда более актуальная проблема – это обычные сервисы и устройства, которыми люди пользуются каждый день. Смартфоны, телевизоры со Smart TV, фитнес-трекеры, навигационные приложения – все это годами собирало поведенческие данные пользователей. Эти массивы потом использовались для построения профилей, прогнозирования поведения и таргетирования рекламы. Именно поэтому сейчас в России постепенно пытаются навести порядок на этом рынке и сократить возможность бесконтрольного оборота таких данных», – отметил председатель движения «Гражданский комитет России», член Совета при президенте РФ по развитию гражданского общества и правам человека Артур Шлыков.
Хацистаму начал исследование после того, как заметил нестабильную работу приложения для управления маской. Устройство оснащено функциями мониторинга ЭЭГ, подогревом, вибрацией, динамиками и электростимуляцией вокруг глаз. Проанализировав код приложения на Flutter с помощью ИИ-инструмента, разработчик обнаружил в нем адрес брокера, а также учетные данные для подключения.
Выяснилось, что сервер передает данные всех активных устройств компании, включая другие IoT-датчики, например системы определения присутствия и мониторинга качества воздуха. Через тот же брокер можно не только читать информацию, но и отправлять команды без дополнительной проверки – например, включать электростимуляцию или воспроизводить звук на чужом устройстве.
«Новость про умную маску, которая сливает данные ЭЭГ и позволяет удаленно включить электростимуляцию на чужом лице, – это не просто очередной провал безопасности, это идеальная метафора всей экосистемы «умных» устройств. Мы хотели хакнуть свой сон, а в итоге наш мозг стал еще одним уязвимым IoT-девайсом в сети, рядом с чайником и лампочкой.
Самое страшное здесь даже не утечка данных, а возможность удаленного воздействия, так как это переход от пассивного наблюдения к активной манипуляции. Это не просто халатность разработчика, это симптом всей индустрии, где скорость выхода на рынок важнее безопасности, а пользователь – не клиент, а подопытный.
И на этом фоне особенно четко видна логика действий регуляторов. Ограничения на работу иностранных исследовательских и рекламных компаний в России – это не бюрократия, но попытка защитить потребителя в тот самый момент, когда западный мир с энтузиазмом подключает свои нервные системы к публичному Wi-Fi, по сути, игра на опережение в борьбе за когнитивный суверенитет. Пока одни строят стеклянный дом, мы укрепляем стены», – подчеркнул эксперт РОЦИТ Алексей Парфун.
Добавим, что злоумышленники все чаще используют нестандартные носители и подключаемые гаджеты, от портативных колонок и зарядных станций до Wi-Fi-ламп и кружек с подогревом.
Изображение сгенерировано нейросетью Kandinsky 5.0