Пример изображения неизвестной детской комнаты с ребенком, вместо ожидаемой картинки с локальной камеры.На портале Reddit один из пользователей рассказал, что совсем недавно обнаружил странность в работе своих умных устройств. Он синхронизировал свою камеру Xiaomi Mijia 1080p с устройством умного дома Google Home Hub (Google Nest Hub) и через мобильное приложение Smart Home Camera начал получать случайные изображения от других домохозяйств, включая детские комнаты, и другие неизвестные ему места. Причем временные метки на этих изображениях отличались на несколько часов от текущего времени, установленного на локальных устройствах. Вероятно это происходило из-за того, что источники изображений находились в другом часовом поясе.
После получения данной информации в Google сразу начали изучать ситуацию, и после подтверждения факта инцидента в срочном порядке отключили все устройства системы умного дома Xiaomi, в том числе серии Mi Home, от сервисов Google Home и Assistant из-за соображений безопасности до полного устранения данной проблемы.
Впервые данный инцидент был зафиксирован, когда пользователь Reddit с ником Dio-V написал об этой ситуации второго января 2020 года. Это случилось после того, как он недавно приобрел на AliExpress камеру Xiaomi Mijia 1080P. На камере была установлена штатная версия прошивки 3.5.1_00.66. При попытке получить доступ к видеопотоку с подключенной камеры через Nest Hub вместо ожидаемого локального видеопотока выводились иногда частично искаженные черно-белые неподвижные изображения от камер Xiaomi, установленных в других местах.
Общая комната в каком-то доме.
Столовая с сидящим в кресле человеком.
Скриншот с сайта магазина, где была куплена камера.
Реакция на проблему в Google
В Google оперативно приняли заявку по этому инциденту в течение нескольких часов. После локализации проблемы и на время проведения расследования данного происшествия с показом несанкционированного контента, в компании временно отключили интеграцию всех умных устройств Xiaomi с сервисами Google.
Сейчас все попытки использовать устройства системы умного дома Xiaomi с помощью сервисов Google и устройства Nest Hub приводят к подобной картинке-заглушке:
Реакция на проблему в Xiaomi
Представитель Xiaomi заявил, что в компании проанализировали причины инцидента и пришли к выводу, что это произошло из-за проблемы с обновлением кэша в последней версии ПО для систем умного дома Xiaomi. Это обновление было выпущено 26 декабря 2019 года и по замыслу разработчиков должно было устранить некоторые ошибки, в том числе улучшить стабильность работы и повысить работоспособность устройств при низком уровне беспроводного сигнала между компонентами системы умного дома Xiaomi. Только из-за сделанной в этом обновлении программной ошибки некоторые пользователи смогли получить ограниченный доступ к чужому контенту. Проблема могла наблюдаться только у 1044 пользователей, как именно их посчитали уточнено не было.
В настоящее время компания Xiaomi устранила все причины этой проблемы на своей стороне и проводит технические отладочные проверки с представителями Google.
См. также: «Немного про Google Home Hub, или как я купил фоторамку за 130 Евро»
Ранее, в октябре 2019 года, была зафиксирована другая проблема с безопасностью кормушек для животных Xiaomi Furrytail Pet Smart Feeder. Айтишница из России (koteeq на Хабре), случайно смогла получить доступ ко всем этим гаджетам во всем мире. На данный момент эта проблема устранена производителем.
Комментарии (75)
GrakovNe
03.01.2020 19:24Когда автоматизировал свой дом, то на волне мыслей о безопасности и приватности, просто прицепил все стоковые устройства от Xiaomi и прочих вендоров к опенсорсному Home assistant, развернутому на малинке и закрыл им доступ в интернет напрямую
smart_alex
03.01.2020 20:31Он синхронизировал свою камеру Xiaomi Mijia 1080p с устройством Google Home Hub (Google Nest Hub) и через мобильное приложение «Smart Home Camera»
Молодец мужик, если он и дальше будет действовать в том же духе, то ещё и не то увидит :)
После получения данной информации в Google сразу начали изучать ситуацию, и после подтверждения факта инцидента в срочном порядке отключили все
Тоже молодцы. Умный дом с дистанционным отключением всего. Великолепная идея!
Goodkat
03.01.2020 21:15+1Согласен, обидно, когда установил дома камеру, настроил вещание на сервера Гугла и Сяоми и надеешься, что смотреть на тебя будут только работники Гугла и Сяоми, а так же их контракторы и работающие на них фрилансеры и их друзья и домочадцы, а так же русские хакеры сумевшие нагуглить админский пароль к камере, а тут какой-то чудила выкладывает твои фотки на Реддит.
Поэтому предлагаю этого чудилу посадить лет на двадцать за публикацию приватных фоток, а у Реддита и каждого написавшего об этом случае сайта и блоггера отсудить миллинов по двадцать долларов за моральный ушерб.
v1000
04.01.2020 23:03отлично, спрашивать «где пруфы, Билли», а когда он эти пруфы выставит-посадить.
хотя сами фото стоило-бы хотя-бы заблюрить, согласен.
vmchaz
04.01.2020 22:22+1Ну, вот здесь koteeq совершенно верно описала, как в идеале надо работать с умными девайсами для дома.
Просто это требует от покупателя несколько больше телодвижений и серьёзно больше знаний.
А девайсы, продаваемые Xiaomi, Google, Amazon, etc. — они простые. Купи, подключи к локалке или вайфаю — и готово. Чем приходится расплачиваться за эту простоту — понимают немногие.
Не удивлюсь, если какая-то компания начнёт продавать даже умные дверные замки, работающие через её облако — и кто-то это даже будет покупать и ставить в свои двери.Goodkat
04.01.2020 00:20Не удивлюсь, если какая-то компания начнёт продавать даже умные дверные замки, работающие через её облако — и кто-то это даже будет покупать и ставить в свои двери.
Давно уже продают.
https://www.google.co.nz/search?q=умный+замок+site:habr.com
Wesha
04.01.2020 22:33По замыслу разработчиков это обновление должно было устранить некоторые ошибки,
"v1.2345. Исправлены известные ошибки. Добавлены неизвестные."
rafaelpro
03.01.2020 23:50[sarcasm]
Теперь еще остается отключить уязвимые смартфоны Android от своих сервисов.
[/sarcasm]
namikiri
04.01.2020 01:47Мыши плакали, кололись…
На самом деле все эти кактусы покрыты карамелью простого и удобного использования, и лишь как только будет слизана вся карамель и покажутся иголки — тогда мыши задумываются. Некоторые.
vladkorotnev
04.01.2020 10:21Значит просто нужно устроить такое потепление, чтобы она вся расплавилась и утекла. Частично оно уже началось (Mirai и иже с ними). Какие-то мыши задумаются, остальные — заслуженно поступают в продажу. Эдакий кибер-дарвинизм в действии.
mat300
04.01.2020 02:09Цитата из этой новости:
"По замыслу разработчиков это обновление должно было устранить некоторые ошибки, в том числе УЛУЧШАЛИТЬ работоспособность устройств при низком уровне беспроводного сигнала между компонентами системы «умного дома» Xiaomi."
Какое феерическое слово вы, denis-19, изобрели тут! Вы даже не представляете! Это совершенно точно описывает, то чем занимается немалая масса этих самых "улучшалителей". То есть они то ли шалят, то ли улучшают. Но получается как всегда "страх и ужас".
Ни в коем случае не исправляйте эту находку.
Теперь надо подумать, как донести смысл слова до англоязычных коллег...
spam312sn
Вот, почему
умныйавтоматизированный дом должен быть оффлайн. Без отправки данных всяким гуглам и китайцам. Сначала люди покупают чёрные ящики, которые не способны работать без доступа к каким-то левым серверам — таким же чёрным ящикам, а потом удивляются, почему их данные утекли в сеть.По этому поводу меня очень разочаровали хлаоми в своё время, когда я внезапно узнал, что данные с Mi Band синхронизируются с китаем. Ничего не имею против Китая и не боюсь зондов из каждого утюга, но такие вещи должны иметь документацию протоколов, чтоб любой частный программист мог сам себе написать приложение и складывать полученные данные на своём домашнем сервере. Без неё, к сожалению, как бы мне ни нравился Mi Band, пользоваться я им не хочу — просто неприятно. Уж лучше PineTime купить от Pine64
P.S. Да, я знаю, что умельцы уже раскопали команды управления браслетом, и даже есть альтернативные приложения, но тем не менее, эта штука всё равно остаётся чёрным ящиком, которую ни прошить как хочется, ни что-либо кастомное с ней сделать. Даже зонды в Android от Google не так напрягают — к Android хотя бы документация есть и можно собрать его из исходников по своему разумению
DMGarikk
В Андроиде есть здоровенный зонд в виде gms которые вы не можете собрать из исходников
spam312sn
Так можно спокойно и без него обходиться, если паранойя накрыла — есть альтернативные маркеты, на худой конец можно самому устанавливать приложения вручную или через ADB. Я так и делал, когда установил LineageOS на старый телефон, ради интереса.
balexa
Проблема в том, что мессенджеры, push-уведомления от банковских приложений и т.п. перестают работать
kaman
Не всегда. Телеграм в FOSS-версии получает пуши через Foreground Service. У WhatsApp такого нет, но сообщения на девайс без GCM, тем не менее, приходят — по крайней мере, в версии, распространяемой на их сайте. С банковскими приложениями да, сложнее, придется вернуться к смс.
balexa
Осталось только разобраться, как согласуются боязнь гуглового зонда, паранойя на тему слежки и отказ от пушей в пользу смс. :)
Astroscope
Это необязательно боязнь. Вполне достаточно опасений. Страх, боязнь — штука иррациональная, а опасения — вполне конструктивны и обоснованы.
Если вы параноик, то это не значит, что за вами не следят на самом деле. Если вы прагматик, то вы просто не захотите
бесплатноза свой счет делать что-то для других, а именно помогать другим собирать статистику про вас лично и про вас как часть какой-то группы, включая но не ограничиваясь вашими передвижениями, поисковыми запросами, установленными приложениями и их использованием, просматриваемыми сайтами, фотографиями и связанными с ними контактами. Включая фотографии и контакты тех, кто не хотел бы быть объектом сбора сведений, но информацию о ком вы довольно подло, без разрешения и не уведомляя эту персону, передали куда-то, откуда ее удалить сможет только глобальная атомная война, и то не факт.Вообще никак не согласуется. Не знаю, как вам удалось объединить пространство и время в вашем вопросе. :)
Речь о том, что какое-то количество приложений в силу некомпетентности или умысла разработчиков фактически являются приложениями для GMS, а не для Android, хотя заявляется, что это приложения для Android. Из-за этого у подобных приложений может отпадать некоторый функционал.
kaman
Согласен, если уж параноить по полной, то будет отказ от банков в пользу налички. ;)
Astroscope
Мессенджеры вроде работают.
С моей субъективной точки зрения это не проблема. Вернее так, это проблема разработчиков приложений, которые декларируют, что разрабатывают приложения для Android, а по факту разрабатывают приложения для GMS, что совсем не одно и то же и второе никак не является неотъемлемой частью первого. И да, эту свою проблему они перекладывают на пользователей.
DMGarikk
Почему же это "их" проблема? Они делают приложения используя удобные инструменты, людей которым важно то о чем мы тут говорим ничтожно мало в общей аудитории, так что это именно наша проблема как пользователей, что нам (статистическому большинству) всем на это плевать
Astroscope
А вот это уже да, получается наша проблема. Спасибо, плюс. :)
qw1
1) Каждое приложение держало свой фоновый сервис для long polling и кушало батарейку, а также было платным/с более злой монетизацией (потому что требовало новых серверов, отличных от гугловских, чтобы на них постоянно висело 100500 клиентов)
или
2) Централизовано забирало все пуши через единое системное API с однократными для всех приложений накладными расходами, но требовало установки закрытого фреймворка и сливало гуглу чуть-чуть информации (всего лишь 1 бит, что событие поступило. приватная информация события читается уже с серверов приложения в обход гугла).
Astroscope
3) Централизовано забирало все пуши через единое системное API с однократными для всех приложений накладными расходами. Точка. То есть это должно быть системным API самого Android (типа того, который AOSP), а не какого-то стороннего и трудноудалимого компонента, не являющего частью системы. Чем не вариант?
wataru
И кто должен
тратить деньгиподдерживать сервер для этой функции?Вот, ну не хочет гугл тратить свои деньги на делание удобным чистый андроид, где никаких гугловых сервисов нет. Имеет право.
qw1
Решение есть — федеративные сервисы по типу e-mail.
Юзер в настройках телефона указывает свой push-сервер и аккаунт (например, vasya@myserver.ru), а по умолчанию в прошивке указывается сервер производителя устройства (например, push.samsung.com) с возможностью поменять. Клиентская часть всех мессенджеров узнаёт у Android текущий push-сервер, серверная часть мессенджера отправляет уведомления на него, а телефон забирает с этой одной точки. Так можно построить архитектуру, независимую от ОС (то есть, iPhone-ы тоже к ней подключить).
wataru
Теоретически, да — такая система была бы очень удобна. Простые пользователи оставались бы с гуглом, а гики поднимали бы собственные сервера. Как с почтой. Но, надо это стандартизировать и кучу ресурсов вбухать в разработку этого решения. С учетом, что оно не нужно подавляющему большинству пользователей и разработчиков — это непреодалимое препятствие.
Опять же, гугл к этой системе может и не захотеть подключатся, потому что если оно все такое открытое и стандартное, то как запретить пользователям без gms использовать гугловые сервера.
qw1
Зачем запрещать? Всё равно, что запрещать пользоваться gmail с iOS.
Если у человека Lineage/AOSP, то пускай хотя бы свои пуши гоняет через гугл, раз уж остальные сервисы не захотел ставить.
Тут скорее обратный вопрос: как Samsung и Huawei запретить ставить свои push-серверы дефолтными.
zomby
Может, в рамках функциональности пушей это и действительно 1 бит, но отдельно от всего остального их не активируешь, для пушей должны работать гуглосервисы, а что и в каких объемах они сливают толком не понятно.
AlienJust
Есть же microG.
github.com/microg
qw1
С которым Google не борется только из-за его ничтожной доли на рынке.
Как думете, что произойдёт, если Xiaomi вместо полноценных Google Services Framework в прошивку своих телефонов возьмёт microG?
Astroscope
Я вам отвечу: я впервые задумаюсь о покупке Xiaomi. :)
qw1
Чтобы он через 3 месяца превратился в тыкву?
AlienJust
Он будет периодически превращаться в тыкву, каждый раз как Гугл будет менять логику работы со своими серверами, свободная реализация тут постоянно в роли догоняющего.
UdarEC
спасибо за наводку, поставил, потестил, полет нормальный. Старый Nexus теперь летает.
arkamax
Те же мысли насчет отключения умного дома от Интернета… но не дает покоя мысль о том, как девайсы (те же камеры) будут обновляться. Если сделать им белый список зеркал обновлений — то замучаешься отслеживать изменения, да и не факт, что на одном и том же хосте не будут лежать как обновления, так и сервер «статистики» в самом широком смысле этого слова. Пока я так и не сделал себе «умный дом» в основном потому, что не нашел устраивающее меня решение этого вопроса.
DaneSoul
Если оно работает и функционал устраивает, то зачем их вообще обновлять? Из соображений безопасности? Так если они отключены от Интернета, то даже при наличии уязвимости в старой прошивке этим никто не сможет воспользоваться.
extempl
А отключены ли? Насколько я понимаю, всех сильно беспокоит завязанность на китайские сервера. Открывать те же камеры в мир и прочие умные девайсы будут продолжать для собственных нужд, посмотреть на кота с работы, или на участок дачи за городом и тому подобного (а иначе зачем оно?).
И такие камеры, к которым получали доступ злоумышленники тоже были в истории.
arkamax
Этот вариант (с китайским сервером-посредником между моим телефоном и котом) меня не устраивает в принципе. Представляется возможным поставить некий NVR-софт на личную VPS-ку и коннектиться на него, возможно даже через VPN. Камерам на уровне роутера закрыть наружу всё, кроме адреса этого сервера. Пока для меня лично количество головняков слишком большое, чтобы взяться за сей проект, но это кому как.
Goodkat
Любой NAS или Raspberry Pi в качестве сервера, некоторые камеры имеют встроенный веб-сервер, который будет доступен только внутри локальной сети.
Доступ к локальной сети извне — через VPN.
VPN умеет сейчас практически каждый рутер/модем. Если не умеет, то опять же Raspberry Pi, к которому пробросить порт.
Если адрес не статичный, то DynDNS — есть бесплатные.
Я так настроил себе несколько лет назад, дел на всё по всё — час-полтора времени включая гуглёж инструкций по настройке.
Проблемы могут возникнуть только в каких-нибудь домовых сетях, в которых много клиентов сидят за натом, а наружу смотрит один адрес — не знаю, остались ли ещё такие. Тогда нужен какой-нибудь внешний прокси, но и это решается.
Shakhmin
Ростелеком.
По дефолту — нат. Причем двойной.
С учётом его размеров и распространенности — надеяться стоит только на статику
Paskin
«Открывать в мир» устройства приходится из-за закрытых протоколов. Многие устройства работают с той же Алексой или другими помошниками не напрямую — они работают с сервером производителя, а помошник или его бэкенд передают туда (на сайт) команды.
Во многих «Алекса/Гугл» совместимых устройствах (даже не с Алиэкспресса) реализован именно такой принцип.
Ну, а камеры (или какой-то промежуточный сервер) приходится открывать, чтобы банально посмотреть что происходит дома — иначе зачем они нужны?
Wesha
Wi-Fi? (С оговорками, конечно: если он открытый, или если ключ шифрования слабый, или если в алгоритме найдут дыру).
arkamax
Выше уже написали, что если кто-то совсем левый проберется в WiFi-сетку, то есть варианты. Второй вариант — когда кто-то объявляется с гостевым девайсом, на котором есть зловреды (не буду же я аудит каждому гостевому андроиду устраивать). Значит надо разводить IoT, гостей и важные домашние ресурсы по разным VLAN… тогда шансы есть ИМХО. Вообще отдельная сетка для гостей и guest isolation решает эти проблемы, но не исключен и третий вариант — заражение доверенных домашних устройств (ноутбуков, телефонов итп). Короче говоря, надеяться на закрытость устройства для меня лично не идеальный вариант — слишком сильно это пахнет security through obscurity.
DrZlodberg
Это пока они недостаточно умные. Например камеры с каким-нибудь распознаванием образов теоретически могут поломать правильно подготовленной картинкой. Умные датчики с беспроводным соединением могут сломаться и по нему (особенно учитывая, что сейчас и лампочки с вайфаем уже). Пылесос с голосовым управлением… Ну вы поняли.
Goron_Dekar
А вендоры и так не выпускают обновлений.
arkamax
Смотря какие. Xiaomi может и не выпускают, но я на них и не смотрю. Есть фирмы, которые более или менее заботятся о своем имидже — правда это не мешает им создавать адские косяки с привязкой камер, итп (отчасти поэтому я не рассматриваю вариант с внешними соединениями на сервера-посредники).
Goron_Dekar
А можно пример? Для домашнего использования, конечно (по бюджету)
dernuss
Ну так тоже не интересно. Ведь хочется контролировать дом из далека
OnYourLips
Имеется ввиду, что оффлайн должны быть сами устройства типа камер.
А контролировать издалека вы можете их через хаб, который открыт на только входящие соединения после аутентификации, причем сделано это не средствами самого хаба.
mishutka_ua
Вот это
и это взаимоисключающие параграфы.TheGodfather
Нет.
Камера сидит в чисто внутренней локальной сетке, к которой извне может в принципе не быть доступа.
Локальный «хаб» сидит в двух сетках, одна смотрит наружу, и таким образом вы можете подключиться к «хабу». И в то же время он смотрит внутрь, поэтому может передавать команды на камеры и прочие элементы дома. И выше уже сказали, что да, хаб становится слабым местом, но это уже на порядок лучше, чем когда каждый девайс дома сам по себе в интернет ходит.
dernuss
Тут тоже сомнительно. Допустим нужны камеры для защиты дома. То есть если кто-то ограбил, то можно посмотреть. В таком случае камеры должны сливать видео в облака
Yuri_M
Использовать вместо гугловского etc «облака» — свой VPS где-нибудь? Настроив доступы так, чтобы точно никто посторонний не получил ни данные, ни метаданные с камер?
dernuss
Не уверен что получится безопаснее у большинства пользователей. Не продакшн
mishutka_ua
mishutka_ua
Да нет, Вы, не поняли, оффлайн, это когда вообще нет доступа к камерам или чему-бы то нибыло извне. Оппонент-же настаивает на том, что если есть промежуточное звено для авторизации, то они в оффлайне.
mishutka_ua
Вы-же, понимаете, в принципе, что если, вы, можете «издалека» подключиться к камерам то они априори не в оффлайне?
TheGodfather
Ну да, видимо, отличия в трактовке «оффлайна». Я и автор начального комментария считаем «оффлайн» == «камера (сама по себе) не имеет доступа во внешний интернет». А что есть доступ к внутренней сети — ну так на здоровье. И, мне кажется, такое определение вполне имеет смысл, ибо обычно проблема именно во внешнем интернете, а не в локальной сетке.
И в случае с хабом, к камере «издалека» подключиться не можно. Можно подключиться к хабу, а он уже зафорвардит данные с камеры. А к камере нельзя, ибо камера не имеет доступа наружу.
mishutka_ua
Нет, здесь нет места трактовке, если есть доступ «издалка», значит есть доступ извне. Это факт. Если есть доступ извне, то все упирается в его надежность. То, что камера не коннектится с сервером вне сети, не значит, что я не поделючился к ней из-вне. Если внимательно читать статью и понимать, что в ней написано, то это очевидно. Нет, не так, это очевидно в любом случае.
TheGodfather
Что значит «нет места трактовке»? У заключенного в тюрьме есть доступ к внешнему миру? Свободного нет, однако есть встречи с родственниками, передачи, письма. Так и тут — у камеры нет доступа к внешнему миру, но есть «посредник», через которого можно общаться. Соответственно, если вы настроите «посредника» так, что он будет передавать заключенному ножи, патроны и огнестрел, то, очевидно, рано или поздно случится непоправимое. А если передавать только книжки Ленина и гречку, то все будет хорошо.
Как вы подключитесь «извне», если камера **не имеет прямого выхода наружу**? Такое будет работать, только если вы ваш хаб\прокси\посредника криворуко сконфигуряли. Ну а это уже не проблемы камеры.
dernuss
Просто ломать будут не саму камеру, а посредника. Ни чего не изменится.
TheGodfather
Для домохозяйки, конечно, проще поставить камеру, дать ей доступ в облако и не париться. Но мы же вроде на айтишном ресурсе. И ваш посредник, скорее всего, будет иметь нормальную авторизацию, защиту от ддоса, VPN и SSH, закрытые порты. Поэтому в среднем сломать посредника будет сильно сложнее, чем получить доступ к камере, используя известную дырку. Так что изменится, и очень сильно. Но, конечно, если кому-то надо будет конкретно вашего посредника взломать, то взломают, Неуловимому Джо не скрыться.
dernuss
Пока не будет решения в продакшене по низким цнам, ни чего не изменится.
А в продакшне видимо проще и дешевле без хаба(
Айтишники могут делать такие системы уже много лет.
mishutka_ua
Нет, уже нет, ресурс уже не торт
mishutka_ua
В адеквате, не?? Еще раз, для особо одаренных повторю, ЕСЛИ, ВЫ ИМЕЕТЕ КАНАЛ ПОДКЛЮЧЕНИЯ К КАМЕРАМ ИЗ-ВНЕ, ЗНАЧИТ И ИЗ-ВНЕ МОЖЕТ ПОДКЛЮЧИТСЯ К ВАШИМ КАМЕРАМ, НЕ ОСОЗНАВАТЬ ЭТО… НУ ДОБАВЛЯТЬ МНЕ РАБОТЫ. Если камера не имеет выход наружу, при условии, что Вы, к ней подключаетесь НЕ ЗНАЧИТ, то, ЧТО Я К НЕЙ НЕ ПОДКЛУЧУСЬ. Естественно не пройдя авторизацию. И это вообще не проблемы камеры. Лично, Вам, если камера не имееет доступа наружу, это ВООБЩЕ не значит, что к ней нет достепа снаружи. минус )))) обоснуй.
TheGodfather
На этой чудесной неконструктивной ноте я предлагаю закончить наш «диалог», ибо не вижу смысла в продолжении. И каждый останется при своем мнении.
mishutka_ua
Да дело не в мнении, а в объективной реальности. К глубокому сожалению. И обоснуйте ноту нереальности. Ну в общих чертах, как минимум. Ну если базы хватит
Paskin
Для этого нужно договориться о протоколах. Сегодня очень многие вендоры имеют собственный протокол связи с облачным сервером — и все управление устройством идет не напрямую, а через него.