Роботизацията на хотелите освен удобство носи и неподозирани проблеми (снимка: Henn na)
Японската хотелска верига HIS Group бе принудена да се извини на клиентите си, че е пренебрегнала предупреждения от страна на специалисти по сигурността за потенциален пробив в роботите, разположени из стаите за гости. Те били лесни за хакване, позволявайки на потенциално злонамерени потребители да следят дистанционно какво правят обитателите на стаите.
Хотелът „Henn na“ се обслужва почти изцяло от роботи: гостите биват посрещани и регистрирани от роботи-хуманоиди или динозаври, преди да се настанят в стаите си. За достъп до хотелските помещения се използва технология за лицево разпознаване. След настаняването, всеки гост има свой личен „слуга“ в стаята си – малък настолен бот на масичката до леглото.
Лесно хакване
Преди няколко седмици изследовател по сигурността разкри в Twitter, че е предупредил хотелската верига HIS Group за това, че ботовете в стаите могат лесно да бъдат хакнати и да се използват за отдалечено наблюдаване на гостите. По-неприятното е, че пробивът може да се използва за много повече от воайорство, а най-неприятна е реакцията на хотела и доставчика на роботите.
Ланс Р. Вик, независим изследовател по сигурността, открил пробива по време на своя престой в хотела. Неговият експеримент установил, че устройствата имат „нещо като заден прозорец“, който би осигурил отдалечен достъп до видео и аудио стрийминга, за да шпионира гостите, които остават в стаята.
Проблемът съществува благодарение на „неподписан код“, който осигурява достъп до NFC тага вътре в робота. NFC тагът е малък микрочип с вградено съдържание, което може да се чете от мобилни устройства наблизо. Чиповете могат да бъдат настроени да стартират даден URL адрес или да осъществяват връзка с приложения.
Роботи динозаври обслужват гостите на хотела Henn na (снимка: Henn na)
По този начин, според Вик, хакването на робота в стаята е тривиално и изисква незначително по обем препрограмиране на NFC чиповете – нещо, което е възможно заради неподписания код. Според описанието в Twitter, нападателят трябва да „докосне NFC тага на гърба на робота, да поиска желания URL адрес, да отиде в „Настройки“ и да разреши „недоверени приложения“; после да използва браузъра, за да инсталира аудио/видео стрийминг приложение по свой избор; да го настрои за автоматично стартиране; да рестартира робота и… да гледа отдалечено какво се случва в стаята всякога, когато поиска.
Отвъд воайорството
Не е ясно дали някой друг освен Ланс Вик е компрометирал устройствата, но Джоузеф Карсън – главен изследовател по сигурността в Thycotic, коментира пред Threatpost, че потенциалът за злонамерена дейност се простира доста отвъд воайорството.
„Всичко, което е свързано с интернет, независимо дали става въпрос за лаптоп, телефон, уеб камера или дори робот, е изложено на риск от хакване и злоупотреба“, каза той. „Устройствата, които съдържат камери, използвани за прости функции като сензори за движение, могат безспорно да бъдат употребени и злонамерено – за запис на видео, анализ на тези данни и извършване на разпознаване на глас или лице”.
Факт е, че тези данни могат да бъдат използвани за злоупотреба с личния живот на обитателите на хотелите. Но когато към това прибавим и технология като машинното самообучение или изкуствен интелект, последиците могат да бъдат катастрофални.
Според Карсън, може да се стигне до фалшификации на снимкови и видео-материали и кражба на дигиталната идентичност. „Трябва да подходим към бъдещето с повишено внимание и отговорност при въвеждането на технологиите“, казва той.
Роботите с камери се оказват лесни за хакване от киберпрестъпници (снимка: CCO Public Domain)
Всъщност Ланс Вик установил пробива още през юли. Той писал до хотелската управа и до производителя на ботовете, но така и не получил отговор. След като почакал достатъчно дълго време – 90 дена – Вик решил да разгласи проблема. Той публикува данните за ботовете на 13 октомври.
HIS Group е публикувала съобщение в Twitter, което гласи: „извиняваме за възможните несгоди, които може да сме причинили“, предава Tokyo Reporter. Пак според анонс на хотелската верига, за устройствата „е направена модификация за предотвратяване на хакване от гостите“. Производителят на роботите Tapia пък е определил, че „рискът от неоторизиран достъп е нисък“, въпреки оценката на изследователя.
Ужасната слава на IoT
„Ако отседа в хотел, който имаше робот с лицево разпознаване и видеокамери, бих метнал отгоре му хавлия“, казва Крис Моралес, ръководител по анализи в областта на сигурността в компанията Vectra. „Производителите на IoT устройства имат ужасна слава, когато става дума за осигуряване на достъп до техните устройства. Инсталирането на такова устройство в името на удобството – което може да запише всичко, което правя в стаята – е просто ужасно“.
Моралес и други специалисти по сигурността все по-настойчиво подчертават, че ситуации като случилата се ще стават все по-чести с разпространението на IoT.
„Ние се оказваме в ситуация, която е нова за човечеството – такава, в която сме наблюдавани по-агресивно, отколкото нашите предци са могли да си представят, и то не от централните власти, а от престъпници“, казва Томас Хеч, главен технически директор и съосновател в SaltStack. „С увереност можем да кажем, че известните нам хакове на такива устройства са само върхът на айсберга. Тъй като животът ни е толкова силно зависим от свързаните устройства на фона на такава сериозна липса на надзор върху сигурността, събития като описаното със сигурност ще стават все по-чести“.
По думите му, дори големите компании с достатъчно налични ресурси имат трудности да осигурят приемливо ниво на сигурност в своите системи, а малките компании, които нямат достатъчно ресурс, изобщо не могат да направят своите устройства сигурни.