Шпионский робот-пылесос

[Carding]

Безопасники снова взялись за умные устройства. Атака LidarPhon https://www.cs.umd.edu/~nirupam/images/2_publication/papers/LidarPhone_SenSys20_nirupam.pd способна превратить робот-пылесос в шпионское устройство, подслушивающее разговоры.

С опаской смотрю на своего Роберта.

Атака возможна благодаря лидару, с помощью которого пылесос ориентируется в пространстве и отличает кошку от табуретки. Злоумышленник может использовать лидар и его лазер как лазерный микрофон. Такие микрофоны способны слушать информацию на расстоянии.

Кибершпане нужно получить контроль над лидаром. Это возможно, если вмешаться в процесс обновления прошивки или накормить пылесос зловредом.

Лазерные микрофоны отслеживают вибрации поверхности, которые потом можно декодировать и расшифровать беседу. Тут есть проблемки: пылесос мотает лидаром, что сокращает возможности прослушки. Но хакер может заставить пылесос сфокусироваться на одном объекте с помощью вредоноса.

В любом случае лидары пылесосов не так точны, как лазерные микрофоны. Но исследователи всё равно смогли получить хорошие результаты во время тестов на роботе-пылесосе Xiaomi Roborock.

Снова с опаской смотрю на своего Роберта.

Эксперты несколько раз попробовали снять сигнал с разных объектов и на разном расстоянии. Правда, эксперименты сосредоточились на восстановлении чисел, а не текста. Точность составила 90 %.

Безопасники утверждают, что LidarPhone можно использовать, чтобы выяснить пол тех, кто болтает возле пылесоса, и даже их политические взгляды по выпускам новостей, звучащих на фоне.

 

[Carding]

Принтер-вымогатель

То кофемашина вымогает деньги, то принтеры печатают послания с требованием выкупа. Хоть заводи рубрику о вещах-преступниках.

Есть такой гадкий вредонос-шифровальщик — Egregor. Мало того, что он пакостит и грозится уничтожить все данные жертвы, так ещё и печатает записки с требованием выкупа на всех доступных принтерах. Причём послания могут быть напечатаны даже на кассовых чеках.

Такая атака более актуальна для компаний, чем для обычных пользователей. Проблемы с безопасностью любят замалчивать. Иногда их скрывают даже от сотрудников. Как неловко будет, если окаянный вирус возьмёт и отправит палевные письма на МФУ кадровиков или бухгалтеров.

Кофемашина-вымогатель

Ох уж этот интернет вещей. Вот так не досмотришь за роботом-пылесосом, а они с кофеваркой уже мутят ОПГ. Один безопасник выпендрился решил доказать https://decoded.avast.io/martinhron/the-fresh-smell-of-ransomed-coffee/, что уязвимые умные устройства могут стать причиной жёсткой кибератаки на пользователя. Для этого он изменил прошивку кофемашины SmarterCoffee. В результате кофейная злодейка научилась требовать выкуп за продолжение нормальной работы. Она шумела, запускала то кофемолку, то нагреватель воды. Надоело? Извольте заплатить выкуп или вырубить монстра из розетки.

Чтобы взломать кофемашину, её даже не пришлось подключать к Wi-Fi-сети пользователя. При первом включении она создаёт свою сеть, к которой нужно подключиться со смартфона и настроить через специальное приложение. По умолчанию у кофеварки нет никаких паролей, соединение со смартфоном не защищено.

Файлы с прошивкой лежат прямо внутри приложения для настройки. Их можно достать, изменить и загрузить обратно в кофеварку с телефона или ноута. По сути, с прошивкой можно сделать всё, на что хватит фантазии. Это забавно, пока в каком-нибудь офисе дорогая кофемашина не устроила истерику и не начала вымогать деньги.

Так что будьте осторожны с этими электронными умниками. А то мало ли, что им в прошивку взбредёт.