Šmírovací vysavače a další špióni v domácnostech. Ve zneužívání dat se zatím nejdál dostala Čína
Koncem února proběhla světovými médii zpráva, že španělský softwarový inženýr Sammy Azdoufal z robotických vysavačů získal data o 7000 domácnostech, v nichž uklízely. Ve skutečnosti je na tom překvapivé jen to, že to někoho překvapuje. Data o nás může sbírat prakticky všechno, co je on-line, a mnoho takových zařízení to i dělá. Jen trochu jinak, než si většina lidí představuje. Špióny, zločince, sexuální devianty a nevěrné manžely to asi znepokojuje, ale musí se bát i ostatní?
„Smithi!“ vykřikl hlas té saně z obrazovky. „Ano, vy, číslo 6079, Winston Smith! Skloňte se níž! Vy to umíte, ale nesnažíte se! Ještě níž! Ano, to už je lepší, soudruhu...“
Scénu z geniálního Orwellova románu 1984 asi není třeba moc představovat. Soudruzi, členové Vnější strany, musí každé ráno cvičit před obrazovkami svých televizorů, ale ty fungují oběma směry: nejen že cvičenci vidí obraz cvičitele, ale cvičitel vidí je. A samozřejmě nejen cvičitel.
Možná právě na tuhle scénu si leckdo vzpomněl, když se roku 2013 provalilo, že chytré jihokorejské televizory LG sbírají data o svých uživatelích a odesílají je na servery mateřské společnosti. Zatím nehrozí, že by vás televizor napomínal při cvičení nebo že byste byli za sledování nevhodných programů soudruhy z Vnitřní strany zatčeni a podrobeni mučení zakončenému ranou do týla, jak to popisuje Orwell. Ale co není, může být, protože třeba čínský takzvaný systém sociálního kreditu k tomu nemá zas tak daleko.
Zatím ale dopad odposlouchávacích technik vypadá v civilizovaném světě jinak. Někdy stačí jen tak mimoděk v rozhovoru zmínit určité téma – a pak se nestačíte divit: na stejné téma vás náhle začne bombardovat reklama ze sociálních sítí, internetových stránek nebo mobilu. Těžko si nevzpomenout na scény z filmu Minority Report, kde chodce přímo jejich jménem oslovují reklamy z plakátovacích ploch.
Velký bratr to ale ještě nemá úplně vychytané, protože po odchodu svého zvířecího mazlíčka asi nestojíte o reklamy na krmiva, po kterých bude mít hladkou srst. S pomocí takzvané umělé inteligence je však využití odposlechů čím dál dokonalejší. Dříve nebo později dospěje do stadia, kdy bude vědět o uživateli tolik, že ho bude mít v hrsti, a on si to ani neuvědomí.
Nikdy nevěř svému vysavači
Robotické vysavače si většina lidí pořizuje proto, aby samy luxovaly byt, a víc se jimi nezabývají. Sammy Azdoufal z Barcelony je softwarový inženýr se zaměřením na umělou inteligenci, takže uvažuje trochu jinak než běžní lidé. Když si koupil robotický vysavač DJI Romo, napadlo ho, že by bylo zábavné, kdyby ho mohl ovládat na dálku. Vzal svou herní konzoli PS5 a metodou reversního inženýrství se mu skutečně podařilo převzít nad vysavačem kontrolu. S údivem však zjistil, že mimoděk udělal ještě víc: najednou měl přístup do několika tisíců těchto vysavačů ve 24 zemích světa!
Jak je to možné?
Dává smysl, že robotické vysavače mají kameru, aby viděly na svou práci. Aby ve vysavačích fungovaly aplikace pro chytré telefony a aby je bylo možné používat v různých bytech, odesílá stroj svá data do cloudu a na servery své mateřské společnosti. Ale že má DJI Romo také mikrofon, to překvapilo i Sammyho Azdoufala.
„Vysavače posílaly domů datové pakety každé tři sekundy,“ uvádí Azdoufal. „Každý sdělil své sériové číslo, údaje o tom, které místnosti uklízejí, co viděly, kolik toho ujely, kdy se vracely k nabíjecí stanici a s jakými překážkami se setkaly. Mohl jsem je ovládat, dívat se na živé přenosy z jejich kamer, sledovat, jak mapují každou místnost, a podle toho vytvořit 2D plán bytu. Mohl jsem určit i přibližnou polohu uklízeného bytu.“
Sammy Azdoufal předvedl své postupy Seanu Hollisterovi, jenž je redaktorem amerického serveru The Verge, zaměřeného na technologie. „Požádal jsem jednoho svého kolegu, který zrovna recenzoval DJI Romo, aby mi sdělil sériové číslo svého vysavače,“ vypráví Hollister. „Azdoufal robota uvedl do chodu, viděl, že právě uklízí obývací pokoj a v akumulátoru mu zbývá 80 procent energie. Společně s ním jsem na notebooku sledoval, jak vytváří plán bytu. Stačilo k tomu zadat dvanáct čísel...“
Společnost DJI reagovala zveřejněním bezpečnostních oprav v systému svých vysavačů, ovšem Sammy Azdoufal je nepovažuje za dostatečné. Upozornil na to, že výrobce odstranil pouze jednu možnost přístupu k datům. Jiní hackeři ale mohou přijít s dalšími. A ti si – na rozdíl od něj – své postupy nechají pro sebe a budou je zneužívat proti majitelům robotů.
Protože jsem idiot
Nejde o jediný problém tohoto druhu, jemuž DJI čelí. Je světovou jedničkou ve vývoji a produkci spotřebitelských dronů, ale už před devíti lety americký armádní orgán Army Aviation Directorate vydal příkaz, v němž zakazuje používat drony od DJI pro vojenské účely. Důvod byl specifikovaný pouze obecně jako „zvýšené riziko pro kybernetickou bezpečnost při používání výrobků DJI“. Komentátoři soudili, že zákaz souvisí s dřívějším prohlášením jednoho ze zaměstnanců DJI, podle kterého společnost data získaná zákazníky pomocí jejích výrobků (videa a zvukové nahrávky z palubních kamer dronů) dává k dispozici čínské vládě.
Vysavače DJI nejsou jediné, jež byly usvědčeny ze sběru dat o svých uživatelích. Čínská společnost Ecovacs vyrábí různé typy robotických vysavačů od nejlevnějších až po špičkové modely vybavené kamerami, mikrofony, a dokonce laserovými systémy LiDAR, schopnými mapovat okolní prostor. Účelem údajně má být možnost uživatele kontrolovat domácnost i v době své nepřítomnosti. Ale roku 2024 převzali hackeři nad vysavači řady Deboot kontrolu a proháněli jimi vylekané domácí mazlíčky. Prokázalo se také, že je možné prohlížet záznamy kamer. A nechybělo ani podezření, že hackeři mohli takto získané informace prodávat dalším subjektům. V tomto případě výrobce kontroval prohlášením, že pokud uživatel stroj zabezpečí dostatečně silným heslem, ke zneužití nemůže dojít.
Znepokojující především je, že to, co mohou udělat amatérští hackeři disponující jen skromnými prostředky, mohou na mnohem vyšší úrovni provádět profesionální subjekty, jež mají úplně jiné zájmy než vysavačem pronásledovat vašeho jezevčíka. Pod těmi subjekty si lze představovat cokoliv, od mafiánských skupin až po zpravodajské služby jistých mocností.
Zdrojem dat, která je zajímají, nemusí být jen robotické vysavače. Není těžké si domyslet, že obdobným způsobem lze na dálku ovládnout prakticky všechno, co je připojené do internetu nebo komunikačních sítí a využívá cloudu – od chytrých ledniček přes chytré domácnosti, domácí wifi sítě, kamerové systémy a zabezpečovací zařízení až po elektromobily připojené k nabíječkám.
Samozřejmě mohou být vší v kožichu i domácí počítače. Šéf společnosti Meta (dříve Facebook) Mark Zuckerberg nejspíš ví, proč si přes kameru svého notebooku lepí pásku. Existují firmy, jež takové nálepky prodávají a nemají o zákazníky nouzi. Když se zeptali Matthewa Greena, experta na šifrování z Univerzity Johnse Hopkinse, proč si kameru nepřelepuje, odpověděl prostě: „Protože jsem idiot.“
O tom, že ke sledování uživatelů slouží takzvané cookies, nebo že to dělají i operační systémy počítačů, asi nikdo nepochybuje. U Windows se stačí podívat do záložky Nastavení – Soukromí – Obecné. Jsou tu sice možnosti sledovací funkce vypnout, ale ne všichni tomu věří.
Štěnice do každé kapsy
Dávno pryč jsou ty časy, kdy sovětský KGB musel pracně prošpikovávat stovky budov doma i po celém světě „štěnicemi“ s mikrofony. A kdy Richarda Nixona stál prezidentské křeslo pouhý pokus o umístění odposlechové techniky do prostor, kde se scházela jeho politická konkurence. Zastaraly i technologie odposlechu místností prostřednictvím laserového snímání zvukem vyvolaných vibrací okenních tabulí a jiné takové vychytávky hodné Jamese Bonda. Dnes si své „štěnice“ každý nosí s sebou všude a naprosto dobrovolně. Ano, jsou to smartphony.
Nejstarší generace tlačítkových mobilů měly z hlediska ochrany soukromí velkou výhodu: šlo je vypnout. Přesto ani jim tehdy protřelejší jedinci nedůvěřovali. Ze své novinářské kariéry pamatuji, jak v dobrodružných devadesátkách někteří politikové a podnikatelé souhlasili s rozhovorem jen pod podmínkou, že můj mobil bude ležet na stole a akumulátor vyjmutý vedle něj...
To dneska nejde. Nejenže nemůžete vyjmout baterii – i vypnout smartphone jde snad jen kladivem. Aplikace snímající polohu jsou běžné – a přitom přes ně může zloděj zjistit třeba, kdy je váš byt prázdný. A samozřejmě nechybějí ani aplikace pro hlasové odposlechy; těch jednodušších je na trhu celá řada a stojí jen pár stovek. Jejich užití na soukromé úrovni bez vědomí sledovaného je sice nelegální a může způsobit potíže se zákonem – ale zločinci jsou na takové opletačky zvyklí a chorobné žárlivce taky nejspíš neodradí.
U levnějších odposlouchávacích aplikací lze jejich přítomnost v telefonu někdy poznat. Nejčastěji se projeví nápadně rychlým vybíjením akumulátoru, nestandardním chováním mobilu (přepínání režimů, samovolné spouštění aplikací a podobně). U těch drahých to nepoznáte.
Jak se tedy bránit?
Nejjednodušší je mít mobil u sebe, jen když ho opravdu potřebujete, nebo před ním aspoň o citlivých záležitostech nemluvit. Neinstalovat si kdejakou aplikaci, protože mohou sloužit jako trojský kůň pro funkce, jež opravdu nechcete. To platí zejména o těch, které jsou zadarmo. Vyhodit z telefonu všechno, o čem nevíte, jak se to tam vzalo. Existují i firmy, jež smartphone vyčistí a zabezpečí za vás – pokud jim věříte.
Odposlouchávat a sledovat váš smartphone může i stát, respektive policie – ovšem jen pokud to má odsouhlasené soudem. Tohle omezení však platí pouze pro náš stát, zpravodajské služby nepřátelských zemí nic takového nepotřebují. Dostatečně známý je případ odstraňování čínských mobilů Huawei a ZTE ze státních služeb České republiky a později i z některých korporací. Stalo se tak po varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) vydaném roku 2016.
„Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, tudíž pouštět je do systémů klíčových pro chod státu může představovat hrozbu,“ konstatuje web úřadu. „NÚKIB k vydání tohoto varování přistoupil i z toho důvodu, že Čínská lidová republika na území České republiky aktivně prosazuje své zájmy, včetně provádění aktivit vlivového i špionážního charakteru.“
Když nejsem špión ani deviant
Zatímco většina expertů na informatiku doporučuje velkou opatrnost při nakládání se soukromými a jinak citlivými informacemi, reakce většiny běžných uživatelů je spíš vlažná. „Chovám se v mezích zákona, manželce/manželovi nezahýbám, nejsem sexuální deviant ani špión, a dokonce ani politik, vrcholový manažer nebo podnikatel, takže co by si na mně hackeři vzali,“ říká si obvykle majitel takového zařízení. Ve skutečnosti je toho víc než dost: hesla k účtům, přístup do domu a bytu, majetkové poměry, informace o zabezpečení domu a o tom, kdy v něm nikdo nevyruší zloděje...
To ale nemusí být nejčastější důvod sběru soukromých dat. Většina takových s drobnými hackery nebo jinými fyzickými osobami vůbec nepřijde do styku, protože zajímají mnohem větší subjekty. Odcházejí do výkonných serverů, kde se zpracovávají pomocí systémů analýzy velkých dat (data mining). Výstupy pak jsou (kromě jiného) automaticky hodnoceny z hlediska vyhledávání potenciálních zákazníků, vyhodnocování uživatelského chování a k rozesílání personalizované inzerce. To jsou právě ty reklamy, které na vás ze všech stran začnou dorážet poté, co jste (třeba i před vypnutým mobilem pohozeným na stole) pronesli určité klíčové slovo.
Na vyšší úrovni pak mohou sloužit jako jeden ze vstupů dat pro takzvaný neuromarketing, což je způsob, jak se zákazníkovi „dostat do hlavy“ a pomocí jeho podvědomí ho přimět k žádoucímu zákaznickému chování – včetně takového, jež by jinak nejspíš nepraktikoval. Lze to ale použít i v politických kampaních a podobně.
Zatím nejdál se při zneužívání elektronických dat dostala Čína, jejíž takzvaný systém sociálního kreditu (Social Credit System, SCS) nemá daleko k Orwellovu Velkému bratrovi. Využívá sběr dat z internetu, telefonů, sociálních sítí, počítačových systémů bank, policie, pojišťoven i jiných institucí, pouličních kamer, databází a celé řady dalších zdrojů. Podle zjištěných informací pak každý občan dostává buď kladné, nebo záporné body. Spořádaný občan obdrží určité výhody, zatímco ten „neposlušný“ je penalizovaný omezeným přístupen k úvěrům, hypotékám, lepšímu pracovnímu umístění, ale třeba i ke koupi letenek a jízdenek do rychlovlaků. Poukázkou na záporné body přitom může být ledacos, od přecházení na červenou až pro kritiku vlády.
Mohlo by se zdát, že v demokratických zemích něco takového nehrozí, jenomže podobným způsobem hodnotí své klienty třeba pojišťovny, banky a další instituce. Čínský systém je zatím ve fázi ověřování, přičemž účast v něm je údajně dobrovolná. Je ale víc než pravděpodobné, že jeho vývoj pozorně sledují i v dalších zemích a že budou sílit tendence něco takového zavádět i jinde.
Tento článek je součástí balíčku PREMIUM.
Odemkněte si exkluzivní obsah a videa!
