Czy inteligentny dom (smart home) może być prywatny?

Bezpieczny i prywatny inteligentny dom (smart home) w praktyce. Zagrożenia, pułapki, urządzenia, ustawienia i rozwiązania IoT.

Prywatny smart home

Często używamy smart urządzeń, bo wygoda i oszczędność czasu przeważają nad ryzykiem zhakowania inteligentnych domów czy wyciekiem intymnych informacji. Sprawdź, co zrobić, aby skutecznie zadbać o swoją prywatność w smart home.

Google Home, Siri, Alexa oraz inne aplikacje na smart urządzenia zbierają olbrzymie ilości danych na Twój temat. 

Niektórzy mówią, że teraz wszystko, co robimy w domu musimy traktować jako dostępne dla oczu i uszu obcych ludzi.

Amazon Echo Dot biały z zegarem

Nie mamy pełnej kontroli, nad tym, jakie informacje zbierają inteligentne urządzenia, i co się później dzieje z tymi danymi. Często prywatność zamieniamy na wygodę.

Odkurzacze, lodówki, inteligentne alarmy antywłamaniowe, zdalne dzwonki do drzwi lub inteligentne zamki czy inne urządzenia podłączone do sieci – najlepszym rozwiązaniem jest unikanie tych urządzeń lub takie ich  dostosowanie, abyś mógł maksymalnie zwiększyć swoją prywatność i bezpieczeństwo.

Czy przestępca może włamać się do Twojego smart home, a potem podsłuchiwać lub podglądać? Tak, to realne:

  • głośnik Google Home mógł posłużyć do np. otwarcia drzwi do garażu, uruchomienia samochodu czy sforsowania zamków z funkcjami smart. Udowodnił to pod koniec 2022 roku Matt Kunze (Downrightnifty.me). Zhakowane Google Home świetnie nadawało się też do podsłuchiwania oraz odczytywania/zapisywania wiadomości na przechwyconym telefonie. Kunze testował Google Home Mini, ale podejrzewał, że ten sam schemat ataku mógł działać na innych modelach inteligentnych głośników giganta z Mountain View. Google usunął podatności i nagrodził odkrywcę 107 500 dolarami,
  • zdjęcia pewnej kobiety siedzącej na sedesie trafiły w grudniu 2022 roku na zamknięte grupy na Facebooku. Dwa lata wcześniej zrobił je i wysłał do sieci … odkurzacz Roomba firmy iRobot z testowanej wówczas serii J7. Fotki wyciekły z firmy Scale AI, która zajmuje się oznaczaniem materiałów foto, audio i wideo do szkolenia sztucznej inteligencji. MIT Technology Review dotarł do 15 zrzutów ekranów takich prywatnych zdjęć, wśród nich chłopca korzystającego z toalety, 
  • w 2018 roku świat obiegła informacja, że urządzenie Amazon Echo nagrało rozmowę pewnego małżeństwa z Portland w USA, a potem wysłało je … koledze męża. Ten zaalarmował znajomych. Amazon tłumaczył, że doszło do niefortunnego zbiegu okoliczności (Alexa zrozumiała słowa użyte w rozmowie jako polecenie nagrania i wysłania pliku audio).
Jedno ze zdjęć zrobionych przez odkurzacz automatyczny
Jedno ze zdjęć zrobionych przez odkurzacz automatyczny (fot. MIT Technology Review)

IoT nie są w 100 proc. bezpieczne, odporne na szpiegowanie i naruszenia prywatności.

Zanim zakupisz nowe urządzenie do swojego smart home, dowiedz się, jak zadbać o prywatność.

Smart frytkownica
Taką smart frytkownicę zhakował badacz z Cisco Talos. Mógł np. zdalnie uruchamiać urządzenie lub jego ustawienia. Oczywiście większym problemem są np. smart zamki do drzwi, nad którymi kontrolę może przejąć przestępca.

Smart home – co to jest?

Smart home (inteligentny dom) to system, który umożliwia zdalne zarządzanie urządzeniami w domu za pomocą aplikacji na smartfonie lub komputerze.

Inteligentny dom – co może?

Smart termostat

Dzięki systemowi smart home możesz włączyć/wyłączyć inteligentne oświetlenie, ogrzewanie, klimatyzację, otworzyć lub zamknąć zamki w drzwiach lub odtwarzać muzykę jeżeli masz inteligentny głośnik.  

Dom inteligentny to cały ekosystem, który umożliwia podłączenie różnych urządzeń i systemów, takich jak oświetlenie, systemy alarmowe, czujniki ruchu lub czujniki zalania, termostaty, klimatyzatory i wiele innych. Dzięki niemu masz pełną kontrolę nad tym, co robią urządzenia w mieszkaniu lub całym budynku.

Smart home
Inteligentny dom – całość systemu, fot. smarthomeworks.com.au

Smart home to także zabezpieczenie nieruchomości. Systemy alarmowe połączone z kamerami pozwalają na monitorowanie domu w czasie rzeczywistym, w razie potrzeby możesz szybko zareagować na niebezpieczeństwo. Smart urządzenia pomagają kontrolować dostęp do domu, zarówno w przypadku osób, które mają klucze, jak i włamywaczy.

Korzystając z inteligentnego domu zintegrujesz różne urządzenia, np. klimatyzację z oświetleniem, tak aby dom był zawsze optymalnie oświetlony i schłodzony. Masz dostęp do wszystkich smart urządzeń z każdego miejsca połączonego z siecią lub lokalnie, przy użyciu np. Bluetooth.

Jakie rodzaje danych gromadzi inteligentny dom

Ekran smart home

Smart urządzenia zbierają i wysyłają do chmury producenta olbrzymią liczbę danych. To mogą być:

Dane dotyczące użytkowników

Wiele urządzeń w smart home zbiera i wysyła do producenta dane osobowe użytkowników, np. imiona, adresy e-mail, lokalizację, adresy IP. Czasem gromadzone i przechowywane są dane biometryczne (odciski palców, skany twarzy).

Dane o aktywnościach w domu

Urządzenia w inteligentnym domu zbierają dane o aktywnościach użytkowników w domu, np. o której godzinie włączają/wyłączają światła, jaką temperaturę ustawiają, co słuchają/oglądają, o której godzinie otwierają/ zamykają zamki w drzwiach.

Dane z czujników

Wiele urządzeń inteligentnego domu korzysta z czujników, takich jak czujniki ruchu czy czujniki dymu. Dane z tych czujników służą do wykrywania i reagowania na różne zdarzenia w domu.

Dane z urządzeń audio-wideo

Kamery, mikrofony czy systemy nagłośnienia mogą rejestrować wideo i dźwięk w domu. Dane te mogą być przetwarzane aby zapewnić bezpieczeństwo w domu lub w celach marketingowych producenta systemu.

Inteligentny głośnik Amazon

Dane o zużyciu energii

Czujniki z niektórych urządzeń monitorują zużycie energii w budynku. Zebrane informacje użyją do optymalizacji zużycia prądu.

Z punktu widzenia Twojej prywatności najważniejsze jest to, że dane są czasem kiepsko chronione

Tak było w 2019 roku z olbrzymią bazą chińskiej firmy Orvibo oferującej ponad setkę różnych smart urządzeń. 

Do sieci wyciekły dane klientów, m.in. adresy e-mail, hasła, identyfikatory użytkowników i nazwiska. W niektórych przypadkach przestępcy mogli zresetować hasło do np. kamery i wprowadzić własne.

Atak na inteligentny dome
Tak wyglądają ataki na inteligentne domy (fot. F-Secure)

Prywatny inteligentny dom – jak to zapewnić

Korzystanie ze smart home jest łatwe i wygodne. Zazwyczaj wystarczy, że zainstalujesz odpowiednią aplikację na smartfonie i podłączysz urządzenia do systemu. To wszystko? Nie! Spójrz, co warto jeszcze zrobić aby cały system działał bezpiecznie, a prywatność danych Twoich i innych domowników (np. dzieci) była maksymalnie chroniona.

Kwestia bezpieczeństwa i prywatności w dużej mierze zależy od Ciebie. Poniżej zebrałem wskazówki, które Ci pomogą. Opracowałem je m.in. w oparciu o aktualizowane wytyczne z listy kontrolnej bezpieczeństwa osobistego na GitHub.

Jak zapewnić prywatność w inteligentnym domu 

Zaleceń jest sporo, wykonanie niektórych wymaga pewnej wiedzy technicznej, innych nie. Wybierz rady, które będą najbardziej pasowały do Twoich potrzeb.

Kluczowe zalecenia:

  • rozważ czy rzeczywiście potrzebujesz pralki, lodówki lub odkurzacza podłączonego do sieci (być może nie korzystasz z tych funkcji),
  • zmień nazwy urządzeń, aby nie określać ich marki/modelu – agresor łatwiej przeprowadzi atak wiedząc czego używasz. Unikaj nazw typu „Nest Cam”, „Yale Lock YRD 256” lub „Hive Thermostat”,
  • zmień domyślne hasła ustawione przez producenta urządzenia,
  • wyłącz funkcje, których nie potrzebujesz, np. polecenia głosowe w Smart TV (jeżeli rzeczywiście ich nie używasz),
  • wyłącz mikrofon i kamerę, gdy nie są używane – inteligentne głośniki i inne urządzenia sterowane głosem przechowują klipy dźwiękowe na serwerze producenta, z pewnością nie masz ochoty, aby znalazło się tam wszystko, o czym mówisz w mieszkaniu. Dodatkowo przestępcy mogą wykonać ukierunkowany atak i przejąć kontrolę nad mikrofonem/kamerą,
  • dowiedz się, jakie dane gromadzi aplikacja spinająca system, gdzie je wysyła, gdzie są przechowywane i komu udostępniane – z zasady nie korzystaj z urządzeń, które zbierają informacje i udostępniają je stronom trzecim (np. reklamodawcom),
  • sprawdź, jaką opinię ma producent urządzenia, które chcesz kupić (czy miał wpadki z bezpieczeństwem i prywatnością danych swoich użytkowników),
  • po instalacji aplikacji przejdź do ustawień dotyczących prywatności i upewnij się, że wybrałeś najbardziej surowe opcje (domyślne ustawienia zazwyczaj pozwalają na zbieranie największej liczby danych),
  • nie łącz smart urządzeń obsługujących dom ze swoją prawdziwą tożsamością – użyj unikalnej nazwy użytkownika i hasła, które nie identyfikują Ciebie, Twojej rodziny, Twojej lokalizacji ani żadnych innych danych osobowych. Nie rejestruj się i nie loguj za pomocą Facebooka, Google ani innej usługi strony trzeciej. Korzystaj z uwierzytelnienia dwuskładnikowego (2FA) i menedżera haseł,
  • wybieraj systemy, z których dane nie trafiają do chmury producenta tylko przechowywane są lokalnie, u Ciebie w domu lub mieszkaniu,
  • używaj silnego hasła w poczcie elektronicznej – hasło do większość usług smart home można zresetować z poziomu skrzynki e-mail, zadbaj, aby nikt niepowołany nie dostał się do Twojego e-maila,
  • aktualizuj oprogramowanie sprzętowe – nie odkładaj aktualizacji na później, przestępcy przejmują kontrolę nad urządzeniami wykorzystując podatności w oprogramowaniu,
  • chroń swoją siećzabezpiecz swoją domową sieć Wi-Fi silnym hasłem, tak aby nikt niepowołany nie mógł się z nią połączyć i mieć dostępu do urządzeń, korzystaj z szyfrowania w domowej sieci Wi-Fi (WPA2 lub WPA3)
  • używaj solidnych antywirusów – to zapora przed szkodliwym oprogramowaniem, które m.in. wykrada hasła do komputera czy laptopa,
  • jeżeli używasz starego routera z nieaktualizowanym oprogramowaniem, to wymień go na nowy.
Apple HomeKit

Zalecenia do rozważenia:

  • nie podłączaj do internetu infrastruktury krytycznej swojego domu lub mieszkania – „chociaż inteligentny termostat, alarm antywłamaniowy, czujnik dymu i inne urządzenia mogą wydawać się wygodne, z założenia można uzyskać do nich zdalny dostęp, co oznacza, że ​​haker może przejąć kontrolę nad całym domem” – przestrzegają autorzy zestawienia z GitHub.
  • ogranicz ryzyko związane z użyciem Alexa czy Google Home – ważnym źródłem problemów z bezpieczeństwem i prywatnością są asystenci głosowi. Rozważ wybór asystentów, którzy domyślnie szanują Twoją prywatność, np. open source Mycroft. Jeżeli chcesz pozostać przy obecnym asystencie, to przetestuj Project Alias​​, który daje większą kontrolę nad smart asystentami,
  • sprawdzaj swoją lokalną sieć pod kątem podejrzanej aktywności i zagrożeń cyfrowych – możesz użyć programów i urządzeń, np. Icinga, NeDi, TCP View czy Cacti,
  • z zasady unikaj udzielania gościom dostępu do swojej głównej sieci, bo w ten sposób dostaną też dostęp do wszystkich urządzeń w sieci, w tym IoT (gość może być uczciwy, ale jego urządzenie przejęte przez przestępców) – rozwiązaniem jest korzystanie z routera z trybem włączenia oddzielnej sieci dla osób, które nie są domownikami,
  • skonfiguruj VPN na swoim routerze, zaporze lub serwerze domowym – w ten sposób ruch ze wszystkich urządzeń będzie szyfrowany, a sieć VPN dostanie dostęp do smart urządzeń.
Mycroft AI
Szanujący prywatność głośnik Mycroft

Jeżeli jesteś bardziej zaawansowanym użytkownikiem:

  • odmawiaj dostępu do Internetu – jeśli to możliwe blokuj dostęp niektórym urządzeniom do internetu i używaj ich tylko w sieci lokalnej,
  • oceń ryzyko – zdecyduj, kiedy będą działać określone urządzenia (np. wyłączaj kamery, gdy jesteś w domu lub wyłączaj internet dla niektórych urządzeń o określonych porach dnia).
Inteligentny głośnik

Już na etapie projektowania nieruchomości możesz zdecydować się na system inteligentnego domu, który działa bez aktywnego połączenia z internetem. Takie rozwiązanie oferuje np. Loxone. Dane umieszczane są na serwerze w domu, a logowanie do systemu też odbywa się lokalnie. Nie ma połączenia z chmurą – dane nie zostaną sprzedane, nie wyciekną i nikt niepowołany do nich nie zajrzy.

Zagrożenia IoT
Potencjalne słabości i zagrożenia IoT, fot. Thales Group

Jak wybrać aplikację do obsługi wszystkich urządzeń?

System smart home obsługiwany jest przy użyciu aplikacji, najczęściej na telefon. Najpierw logowanie, a potem możesz zarządzać ogrzewaniem, klimatyzacją oraz innymi urządzeniami ze smartfona połączonego z internetem.

Najpopularniejsze aplikacje to Google Home, Amazon Alexa, Tuya, IFTTT oraz HomeKit od Apple.

Przed wyborem aplikacji sprawdź:

  • jej kompatybilność z urządzeniami,
  • jakie obsługuje standardy komunikacji bezprzewodowej (Wi-Fi, Bluetooth, Zigbee czy Z-Wave),
  • funkcjonalność (czy jest prosta i intuicyjna w obsłudze, ma funkcje, na których Ci zależy, np. kontrolę urządzeń, programowanie scenariuszy działania, monitorowanie zużycia energii),
  • bezpieczeństwo – upewnij się, w jaki sposób będą przetwarzane Twoje dane osobowe. Zwróć uwagę, czy aplikacja umożliwia autoryzację użytkowników i szyfrowanie transmisji danych,
  • opinie użytkowników oraz ekspertów – zobacz co piszą/mówią o aplikacji osoby, które z niej korzystały. Jak jest oceniana np. pod względem bezpieczeństwa i poszanowania prywatności użytkowników.

System inteligentnego domu/mieszkania i prywatność – podsumowanie

Bezpieczeństwo IoT

Cenisz sobie nowoczesne rozwiązania, komfort i wygodę? Chcesz zainstalować smart system w nowym lub istniejącym budynku/mieszkaniu? Pamiętaj, że systemy inteligentnego domu nie gwarantują prywatności i 100 proc. bezpieczeństwa. Zadbasz o nie:

  • korzystając z urządzeń od renomowanych producentów,
  • zabezpieczając sieć domową,
  • używając silnych haseł do Wi-Fi oraz do kont e-mail powiązanych z inteligentnymi urządzeniami,
  • regularnie aktualizując oprogramowanie urządzeń,
  • czytając – przed instalacją urządzeń – politykę prywatności producenta (co może zrobić z Twoimi danymi),
  • przyznając aplikacjom tylko te uprawnienia, które są niezbędne do ich funkcjonowania,
  • wyłączając funkcje w smart urządzeniach, z których nie korzystasz (np. nagrywanie głosu/wideo cały czas),
  • sprawdzając aktywność w systemie smart home (logi aktywności).

Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA

i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe:

PODSTAWY BEZPIECZEŃSTWA