קֵןזה זמן רב היקר של תעשיית הבית החכם, אך לאחרונה החברה אישרה שהתרמוסטט החכם המחובר לאינטרנט שלה, הידוע כמי שלומדים את התנהגות הבעלים וחוסך להם כסף, הדליף בשקט נתונים.

אבל אל תתבאס עדיין. זה לא נורא כמו שזה נשמע.

בדוח שפורסם באתרחופש לטינקרוהוצגבכנס PrivacyCon האחרון, חוקרים מאוניברסיטת פרינסטון מפרטים כיצד גילו שהתרמוסטט הפופולרי של Nest, בין שאר התקנים המחוברים לאינטרנט, משדר נתונים לא מוצפנים, כך שבתיאוריה, האקרים מקוונים יכלו ליירט את המידע הפרטי הזה אילו חיפשו בצד הנכון מָקוֹם.

עם זאת, הבעיה נבעה מעדכון מזג אוויר המכיל מידע על המיקום של תחנות מזג האוויר הביתיות והתחנות המקומיות, אמר Nest ל-Mashable. מידע רגיש כמו כתובות בית כבר היה מוצפן, אבל הנתונים שנאספו מתחנות מזג אוויר מקומיות לא היו מוצפנים.

"התרמוסטט של Nest חשף את פרטי המיקום של הבית ותחנת מזג האוויר, כולל המיקוד של המשתמש, בצורה ברורה", נכתב בדו"ח.

"מכשירים רבים לא מצליחים להצפין לפחות חלק מהתנועה שהם שולחים ומקבלים", הוסיף. "חקירת התעבורה למכשירים אלו וממנו התבררה כהרבה יותר קלה מהצפוי, שכן רבים מהמכשירים החליפו מידע אישי או פרטי עם שרתים באינטרנט בצורה ברורה, לא מוצפנת לחלוטין".

בעת הגדרת התרמוסטט החכם, Nest דורשת מהמשתמשים להזין מיקוד., לאחר מכן התרמוסטט מצלצל לתחנת מזג האוויר באזור, שיכולה להיות בקרבת מקום או להשתרע עד למרחק של 90 מייל, והמידע הזה היה פגיע ל את הדליפה.

למרות שהחוקרים האמינו במקור שהתרמוסטט של Nest חושף את המיקום המדויק של בית הלקוח, החברה הבהירה שהנושא הדליף רק את המיקוד של המשתמש.

"הכותבים הניחו בתחילה הנחה שגויה, שציינו בפניהם לפני שהציגו את הדיווח שלהם, שהתגובה לבקשת עדכון מזג האוויר מכילה את המיקום המדויק של בית הלקוח", אמר דובר Nest ל-Mashable. "למעשה, מידע מזג האוויר מסופק על ידי שירות מזג אוויר מקוון, והקואורדינטות של המיקום הגיאוגרפי מיועדות לתחנות מזג האוויר המרוחקות שלהם, לא לבתי הלקוחות שלנו. פרטי המשתמש היחידים שמופיעים בבקשות הוא מיקוד. פנינו אלינו. לחוקר לבצע עדכון הבהרה זה."

החברה הוסיפה שהיא תיקנה את הבאג לפני שנמסרה לה הודעה על ידי החוקרים.

בעוד טרנד הבית החכם עדיין גדל - ונתוני מיקוד, בגדול, הם דליפה קטנה יחסית - החדשות לא עוזרות להרגיע את הצרכןדאגות לגבי האבטחהוהשלכות של איסוף נתונים של אימוץ בית מחובר לחלוטין.

"מכשירים רבים לא מצליחים להצפין לפחות חלק מהתנועה שהם שולחים ומקבלים", נכתב בדו"ח. "חקירת התעבורה למכשירים אלו וממנו התבררה כהרבה יותר קלה מהצפוי, שכן רבים מהמכשירים החליפו מידע אישי או פרטי עם שרתים באינטרנט בצורה ברורה, לא מוצפנת לחלוטין".

כדי לקבוע את ממצאי הדו"ח, החוקרים רכשו אוסף של מכשירים חכמים - כולל מצלמת האבטחה Sharx, רכזת SmartThings, מסגרת התמונה של PixStar ו(כמובן) התרמוסטט של Nest. מכשירים אלה חוברו לאחר מכן לרשת, והתעבורה נוטרה עם האופן שבו היא החליפה מידע עם האינטרנט הציבורי.

בעוד שמרכז SmartThings הוכח כמאובטח, למצלמת האבטחה של Sharx ולמסגרת הצילום של PixStar היו כמה ממצאים מטרידים.

"[זה] משדר וידאו באמצעות FTP לא מוצפן; אם השרת של ארכיון הווידאו נמצא מחוץ לבית, התעבורה הזו עלולה להיות מיירטת גם על ידי צוותת", נכתב בדו"ח.

"כל התעבורה ל-PixStar photoframe וממנה נשלחה לא מוצפנת, וחשפה אינטראקציות רבות של משתמשים עם המכשיר."

החוקרים אמרו שהמהלך היה חלק ממאמץ להביא יותר מודעות להשלכות האבטחה סביב מוצרי בית חכם.

"בסופו של דבר, מספר בעלי עניין עשויים להיות מעורבים בהבטחת האבטחה של מכשיר IoT ברשת, כולל צרכנים, יצרנים וספקי שירותי אינטרנט", אמרו החוקרים. "ישנן שאלות רבות ללא מענה הנוגעות למי מסוגל (ואחראי) לאבטח את המכשירים הללו, אך עלינו להתחיל בדיון כיצד לשפר את האבטחה עבור רשתות עם מכשירי IoT."