Mulți hooferi de roboți își spionează proprietarii

Spionează în apartament

Când vidul robotului devine un risc pentru siguranță

30 ianuarie 2019, 14:47 | Test AV, online

hooferi

Roboți de vid IRobot la IFA 2018: ajutoare practice sau spioni? (Sursa: imagini imago)

  • divide
  • Fixare
  • Tweet tipărește
  • Pentru a trimite prin poștă
  • redactie

Roboții cu vid sunt practici: se ocupă de curățare nepopulară și economisesc timp. Și sunt plini de senzori care colectează informații despre zona lor de lucru. Unele dispozitive transmit aceste date private către terți.

Tot mai mulți oameni cărora nu le place curățenia pot face munca monotonă de aspirare cu roboți de vid. Cu toate acestea, aproape toate aspiratoarele premium au funcții online extinse care necesită o conexiune constantă la internet.

Experții „Internetul obiectelor” de la „AV-Test” au verificat securitatea și protecția datelor a patru dispozitive premium actuale. Testul a examinat dacă mijloacele de curățare digitală le spionează pe proprietarii sau le lasă neatinsă intimitatea.

De la jucării tocilare la ajutor inteligent

Multe dispozitive obțin rezultate decente de curățare, kilometraj bun și multe caracteristici. Fiecare al cincilea aspirator vândut în întreaga lume pe Amazon este astăzi un robot, iar tendința crește rapid. Iar acceptarea și vânzarea ajutoarelor inteligente de curățare nu numai că cresc online. Potrivit unui studiu actual al asociației digitale Bitkom, 15% dintre gospodăriile germane intenționează să achiziționeze un astfel de robot de uz casnic anul acesta, comparativ cu jumătate bună din anul precedent (8%).

AV-Test a examinat securitatea comunicării interne WLAN, traficul de date al serviciilor cloud conectate, securitatea aplicațiilor asociate și reglementările privind protecția datelor din următoarele patru aspiratoare de ultimă generație:

  • Dyson: 360 ochi
  • iRobot: Roomba 980
  • Vorwerk: Kobold VR300
  • Xiaomi: Roborock S55

Plin de senzori

Toate modelele premium verificate în test au senzori extinși. Spre deosebire de dispozitivele mult mai ieftine, aspiratoarele de ultimă generație sunt capabile să efectueze curse de curățare mai amănunțite și mai eficiente. Senzorii cu ultrasunete, infraroșu și laser, precum și camerele asigură o orientare mai bună, permit navigarea direcționată și evită zgârieturile pe mobilă prin frânarea la timp.

Cu toate acestea, dispozitivele surprind, de asemenea, semnificativ mai multe detalii ale zonei de aplicare decât dispozitivele mai ieftine care conduc drept înainte în conformitate cu principiul haosului până când senzorul lor tactil („bara de protecție”) le obligă să schimbe direcția după ce se ciocnește cu un perete sau un obiect.

Toate aspiratoarele din test creează hărți mai mult sau mai puțin detaliate pentru navigare și le pun la dispoziția proprietarilor prin intermediul aplicației. Hărțile și alte date sunt trimise în cloud producătorului prin intermediul aplicațiilor mobile de pe telefonul smartphone de pe dispozitivele testate. Cu unele modele, aceste aplicații sunt utilizate și pentru a configura robotul și pentru a controla dispozitivul. Pentru a face acest lucru, roboții se conectează la WiFi-ul de acasă și pot fi pornite în deplasare, de exemplu. Aspiratoarele trimit și mesaje de stare prin acest canal.

O imagine exactă a apartamentului

„Hărțile de curățare” create de roboți au înregistrat câteva planuri foarte precise ale apartamentului în timpul testului. Pe lângă aspectul camerei, ușile și ferestrele erau vizibile. Deoarece roboții creează hărțile din nou pentru fiecare lucrare de curățare și le reglează în timp ce conduc, ei observă și schimbări în apartament. De exemplu, când valizele nu mai sunt un obstacol pe hol.

Corespondent de importantă este securitatea comunicării conexiunilor de date locale între robot și aplicație prin WLAN, precum și conexiunea la internet externă între serviciul cloud și aplicație.

Comunicarea locală este cu greu critică

Kobold VR300 de la Vorwerk se descurcă fără comunicarea locală și, în consecință, este inatacabil în acest fel. Canalul de comunicație dintre Roomba 980 și aplicație este protejat de protocolul de criptare TLS 1.2. IRobot este configurat inițial printr-o conexiune WLAN activată manual, care nu este protejată prin parolă. Cu toate acestea, comunicarea aici este, de asemenea, complet criptată TLS 1.2. 360 Eye gestionează schimbul de date cu aplicația prin protocolul de mesaj deschis pentru comunicarea MQTT de la mașină la mașină. Criptarea TLS este, de asemenea, disponibilă pentru un astfel de protocol, dar Dyson nu o folosește în prezent pentru comunicarea locală a flagship-ului său și, prin urmare, oferă cel puțin o vulnerabilitate teoretic utilizabilă pentru un atacator în WLAN local. Testerii au observat puncte slabe similare în transferul de date al aspiratorului chinez Roborock S55. Acest lucru își trimite datele necriptate prin protocolul de rețea UDP și dezvăluie, de asemenea, o margine deschisă atacatorilor la fața locului.

Comunicare externă în cea mai mare parte bine protejată

În comunicarea externă, care este mult mai relevantă pentru atacuri, trei din patru candidați la test în laboratorul de testare au demonstrat un comportament defensiv decent. Atât Dyson, iRobot, cât și Kobold de la Vorwerk folosesc criptarea TLS securizată versiunea 1.2 pentru comunicarea cu serviciile cloud conectate și pentru schimbul de date între cloud și aplicație. Pe de altă parte, cu Roborock, testerii au întâlnit trafic radio parțial necriptat. Aspiratorul Xiaomi folosește și conexiuni parțial necriptate pentru comunicarea externă. Acestea pot fi interceptate și manipulate, de exemplu ca parte a unui atac „om-în-mijloc”. În plus, au existat și potențiale pentru atacuri cu conexiuni criptate TLS. Datorită verificării insuficiente a certificatelor cu conexiuni criptate, testerii au reușit să manipuleze fluxurile de date și să le citească conținutul.

La fel ca toate celelalte produse inteligente pentru casă de la Xiaomi, Roborock este controlat de la o aplicație centrală. Astfel, atacatorii pot obține nu numai acces la robotul de vid, ci și la componente mai inteligente pentru casă inteligentă de la producător. Acestea pot fi detectoare de fum, contacte cu fereastră sau camere IP. De exemplu, ar fi posibil să se saboteze protecția împotriva incendiilor unui apartament, să se spioneze rezidenții cu o cameră sau să se oprească protecția antiefracție.

Controlul tuturor componentelor de acasă inteligentă dintr-o singură aplicație este extrem de convenabil, dar acest lucru nu se aplică doar utilizatorilor, ci și atacatorilor. Prin urmare, gigantul chinez al casei inteligente ar trebui să fie atent pentru a elimina lacunele de securitate existente în comunicarea datelor.

Xiaomi trimite datele utilizatorilor către Facebook, AirBnB și Co.

Testerii au întâmpinat, de asemenea, deficiențe de securitate critice în aplicația Xiaomi: pe de o parte, producătorul acordă un număr mare de drepturi de acces pentru aplicația sa de pe smartphone, pentru care necesitatea nu este întotdeauna evidentă imediat. Aceasta include, de exemplu, accesul la setările critice de securitate ale sistemului smartphone-ului.

Pe de altă parte, aplicația Xiaomi nu este doar extrem de curioasă, ci conține și un număr mare de module terțe. De exemplu, aplicația poate trimite date de utilizare înregistrate către Facebook, Alibaba, furnizorul de servicii financiare asociate Alipay, platforma de închiriere Airbnb, gigantul chinez de retail Tencent și alte servicii online. Testul a arătat, de asemenea, că aplicația nu protejează în mod adecvat informațiile sensibile. Testatorii au putut citi informații sensibile din folderul aplicației de pe smartphone-urile înrădăcinate.

Nu numai Xiaomi și Ikea vor face schimb de date de la produse inteligente pentru casă în viitor. IRobot a anunțat, de asemenea, un parteneriat corespunzător cu Google la sfârșitul lunii octombrie 2018. Conform comunicatului de presă, evaluarea „hărților de curățare” create de roboți ar trebui să le faciliteze clienților configurarea și utilizarea dispozitivelor inteligente. De exemplu, aspiratoarele ar trebui să curățe anumite camere numai folosind comanda vocală Google Assistant. Iar utilizatorii ar trebui să poată controla sistemele de iluminat conectate în rețea și alte componente inteligente pentru casă pentru zonele individuale de locuit. Este îndoielnic dacă clienții împărtășesc entuziasmul producătorilor pentru schimbul de date. Într-un interviu acordat „The Verge”, șeful Google Smart Home, Michele Chambers Turner, a promis că cardurile iRobot nu vor fi îmbinate cu alte date înregistrate de Google.

Ceilalți candidați la test promovează, de asemenea, funcții extinse care necesită integrarea altor platforme, cum ar fi controlul de către asistentul de limbă Amazon Amazon. În ce măsură iRobot și noul său partener Google, precum și ceilalți furnizori își respectă promisiunile, rămâne de văzut. Utilizatorii cu greu pot afla.

Protecția datelor: Dyson și Vorwerk au fost curățate

AV-Test a verificat, de asemenea, ce drepturi de utilizare a datelor se acordă Dyson, iRobot, Vorwerk și Xiaomi. Vorwerk s-a dovedit a fi exemplar: în declarația de protecție a datelor a Kobold VR300, producătorul german promite doar să înregistreze date necesare și pentru funcționarea robotului. Vorwerk dorește să utilizeze doar date anonimizate din acest inventar, care sunt utilizate pentru statistici și îmbunătățirea produsului.

Producătorul prelucrează astfel de date în principalele sale locații din Germania și Elveția, precum și din SUA, unde aspiratorul este produs sub licență de producătorul american Neato. Cu toate acestea, în declarația sa de protecție a datelor, Vorwerk garantează conformitatea cu standardele UE de protecție a datelor pentru toate locațiile. Politica de confidențialitate a lui Dyson a fost laudată în mod similar. Producătorul enumeră cele mai importante puncte într-o versiune scurtă ușor de înțeles și sunt furnizate informații detaliate pentru fiecare. Dyson promite, de asemenea, o reducere a datelor necesare și o utilizare anonimizată.

Unsprezece pagini de politică de confidențialitate criptică

Declarația de protecție a datelor a IRobot nu este foarte clară, foarte lungă și foarte detaliată: testerii au trebuit să se lupte cu unsprezece pagini tipărite mici cu un total de aproape 7.000 de cuvinte. Textul este dificil de înțeles și se observă că nu se menționează utilizarea anonimizată a datelor. La urma urmei, producătorul subliniază cooperarea cu alte companii, cum ar fi Google. În plus, iRobot își acordă drepturi de utilizare a datelor care nu sunt necesare pentru utilizarea unui robot cu vid. Un citat din politica de confidențialitate privind colectarea datelor cu caracter personal: „Informații demografice și despre stilul de viață, cum ar fi vârsta dvs., data nașterii, sexul, salariul sau alte venituri, timpul liber și alte interese, numărul copiilor și numărul animalelor de companie, informații despre mediul dvs. de viață”. Astfel de formulări nu inspiră încredere.

Xiaomi nu oferă o politică proprie de confidențialitate pentru „Roborock” în Google Playstore. În schimb, se face trimitere la dispozițiile de pe site-ul producătorului. Cu toate acestea, după instalarea aplicației, clienții primesc informații despre utilizarea datelor generate atunci când se utilizează Roborock. Informațiile despre clienți colectate sunt utilizate în scopuri de marketing în întregul grup Xiaomi. În plus față de fluxul constant de date către furnizorii terți în timpul rulărilor de aspirație verificate în test, declarația de protecție a datelor a producătorului nu oferă nici o speranță de respectare a confidențialității. Informațiile despre schimbul de date cu parteneri precum Ikea, care ar putea folosi planurile de apartamente înregistrate de Roborock pentru a-și face publicitate, nu se regăsesc în declarația de protecție a datelor.

(Sursa: t-online/AV-Test)

Concluzie: multă lumină și umbră

Două aspiratoare premium impresionate de transferul de date sigur și de aplicațiile bine protejate: iRobot și Vorwerk. Declarațiile de protecție a datelor de la Vorwerk și Dyson au îndeplinit toate cerințele de informare ale testerilor. Chiar dacă iRobot își permite o achiziție extinsă de date, care cu siguranță nu este necesară pentru funcționarea dispozitivului, clienții au totuși posibilitatea de a lua cunoștință de acesta într-un stadiu incipient.

În general, iRobots Roomba 980 și Kobold VR300 de la Vorwerk au obținut ratingul de top cu trei din trei stele la testul scurt. Datorită comunicării locale parțial necriptate, Dysons 360 Eye primește doar două din trei stele realizabile.

„Roborock S55” primește doar una dintre cele trei stele posibile din cauza unor deficiențe uneori grave de securitate în transmiterea datelor, transferul de date către terți, setea de date de neînțeles a aplicației și o nevoie clară de îmbunătățire în explicația modului în care sunt tratate datele clienților. În ceea ce privește securitatea datelor și protecția vieții private, Institutul AV-TEST nu poate recomanda acest robot aspirator.