Группа ученых из Университета Мэриленда под руководством доцента кафедры компьютерных наук Нирупамы Роя опубликовала [1] результаты исследования, в котором проведена оценка возможности использования лидара (системы лазерного сканирования) для прослушивания помещения. По данным исследователей если злоумышленник получил контроль над устройством, снабженным лидаром, то он может использовать его для того, чтобы слушать звуки в помещении. В качестве такого устройства может быть использован, например, робот-пылесос, где лидар используется для того, чтобы избегать столкновения с препятствиями. Хотя лидары встроены сейчас и в другие персональные устройства: игровые консоли, беспилотные квадракоптеры, автомобили или другие.
Исследователи разработали программное решение, которое они назвали LidarPhone. Она позволяет записать показания лидара, пересылать их в облако и уже там преобразовать в звуковое сообщение. В качестве инструмента для сбора данных использовался робот-пылесос Xiaomi Roborock. Далее была обучена модель ИИ, которая позволяет по дрожанию изображения предмета в лидаре восстановить звук. Причем в качестве такого своеобразного “микрофона” использовались различные предметы. Оказалось, что лучше всего подходят полупрозрачные объекты, такие как пластиковая коробка из поликарбоната, на которых удалось добиться показателя корреляции с исходным сигналом в 92%.
Впрочем, чтобы злоумышленникам воспользоваться этой технологией, нужно сначала захватить контроль над роботом-пылесосом. В этом направлении хакеры уже работают достаточно давно. Так в 2018 году компания Positive Technologies уже обнаруживала несколько уязвимостей в операционной системе пылесоса Dongguan Diqee 360. В нем была обнаружена ошибка внедрения кода с помощью специально созданного сетевого пакета, а также атака через SD-карту, которая может быть установлена в робот-пылесос. Возможно, другие модели пылесосов также подвержены аналогичным уязвимостям. Другой тип угроз был обнаружен в начале этого года в смарт-пылесосах Trifo Ironpie M6. Там уязвимость обнаружилась не в устройстве, а в мобильном приложении, которое можно заставить установить стороннее обновление. С помощью него злоумышленники могут получить контроль и над самим пылесосом. Таким образом, взлом робота-пылесоса вполне возможен. Он и сам по себе может снимать видео, а уж использовать его для прослушки с помощью лидара — это всего лишь дополнительная функция.
Собственно, чем больше интеллектуальных устройств будет появляться в наших домах, тем больше данных они будут передавать вовне — в различные облака и сервисы дистанционного контроля. Притом пользователям не всегда известно какие именно данные и в каком количестве собираются, поскольку какие именно датчики установлены в том или ином устройстве неизвестно. Сейчас микрофоны и видеокамеры имеют настолько маленькие размеры, что они встраиваются в даже самые крохотные IoT-устройства. А ведь из аудио и видео можно с помощью анализа извлечь очень много информации о пользователях. А если в устройствах установлены лидары, то проблема усугубляется многократно — инфракрасный лазер, который используется в нем, вообще не виден для глаз. Поэтому пользователи не всегда могут разобраться в том, какие данные на него может собирать купленное устройство и куда эти данные потом загружаются. Но в конце концов пользователям придется со временем научиться разбираться в том, какие данные и как о нем собирают его собственные гаджеты.
[1] https://www.cs.umd.edu/~nirupam/images/2_publication/papers/LidarPhone_SenSys20_nirupam.pdf