Vysavače, kartáčky a hodinky. K našemu špehování už smartphony nejsou třeba

To, že nás telefony špehují při všem, co děláme, už bylo několikrát vyloučeno. I přesto, že se vám může zdát, že reklamy na displeji telefonu odpovídají tomu, o čem jste se nedávno bavili, skryté poslouchání mobilů není nic, co by se zakládalo na reálných základech.

Proč? Protože telefony už toho o vás ví daleko více než si myslíte, to už jen z principu jejich běžného používání - co vyhledáváte na webu, jaké aplikace využíváte a jak dlouho, u jakého obsahu přestanete s rolováním stránky (obsah vás tedy zaujme), jaké články přečtete, apod.

Každá vaše interakce s telefonem (ale i s počítačem) se dá popsat nějakou metrikou a z toho vyvodit závěry.

I přesto všechno je na čase se spíše zaměřovat na další elektroniku, kterou běžně používáte, protože ta nemusí mít dostatečné zabezpečení či rovnou určitá skrytá vrátka, kterými o vás může nezištně získávat další data.

A vlastně je to společné pro všechna IoT zařízení (Internet of Things), které mohou bez vašeho vědomí získávat (pro někoho) cenná data.

Vezměte si třeba takové robotické vysavače. To, že v mobilní aplikaci vidíte interaktivní mapu vaší domácnosti a prostor, kde vysavač byl a kam se chystá, je určitě skvělé. Jenže, naservírovali byste podobnou mapu podvodníkům, kteří by na dálku měli představu o tom, jaké máte v domě místnosti?

Vlastně se stačí jen zeptat: dovolili byste cizímu člověku, aby řídil počítač s kamerou ve vašem obývacím pokoji?

Jeden z uživatelů chytrých vysavačů se trochu paranoidně zaměřil na monitoring síťového provozu vysavače a během několika minut si všiml stálého proudu paketů, které byly odesílány na servery na druhé půlce světa.

Není třeba dodávat, že tato telemetrie a sdílení dat z jeho strany nikdy nebyly povolené. Zablokoval tedy přístup vysavače na síť a nestačil se divit – vysavač už druhý den nezapnul.

Zabránění sdílení dat znamenalo, že se vysavač už nespustil.

Rozebral jej, začal se hrabat v softwaru a zjistil, že vysavač má k dispozici vzdálený přístup, na který může výrobce na dálku poslat libovolný příkaz.

To, že vysavač nemohl sdílet data, znamenalo, že dostal softwarový příkaz k zablokování. V servisu na otevřené Wi-Fi se zase oživil, při návratu domů zase přestal fungovat.

A to nebyla náhoda, spíše odveta ze strany výrobce za zákaz sdílení dat. Hardware byl sice od nepříliš známého výrobce vysavačů, ale stejný používají daleko známější značky.

A vzbuzuje to otázky: proč vlastně potřebuje vysavač komunikovat přes celý svět, když vysává u vás doma?

Soukromí detektivové se zase mohou spolehnout na informace ze zubních kartáčků, a nejen oni.

Manželka si do mobilu nahrála aplikaci k zubnímu kartáčku, aby si ohlídala čištění zubů u dětí. Jenže kartáček měl vyměnitelné hlavice a používali jej i dospělí.

Ukázalo se, že manžel si čistil zuby s železnou pravidelností každý pátek v 10:48, když měl od 9:00 pracovat. Manželka pojala podezření a záhy vyšlo najevo, že jejího manžela navštěvuje spolupracovnice z práce. A rozhodně neřešili pracovní záležitosti.

Kartáčky, které jsou připojené k internetu, zase mohou využít hackeři nebo členové rodiny, kteří mají sdílený přístup.

Kartáček o vás prozradí třeba to, kdy jste byli doma a vzhůru – třeba historií vašeho čištění zubů. Některé kartáčky zachází ještě dál.

Když jsou kartáčky spojené s aplikacemi pro „zlepšení hygieny“, mohou tímto uživatelé kartáčku nevědomky odesílat do světa velké množství dat – frekvenci čištění, tlak na zuby, vynechaná místa či dokonce místo, kde k čištění došlo (díky GPS telefonu). Pokud nejsou tato data šifrovaná, mohou uniknout na internet nebo být různými způsoby zneužita.

Problém mohou být i samotné mobilní aplikace ke kartáčkům, které (jako spousta dalších) vyžadují celou řadu oprávnění, která pro svou funkčnost nepotřebují. Rizikové může být třeba nahrávání zvuku.

Chytré hodinky stojí pár tisíc a dokáží o nás posbírat extrémní množství informací.

Velké riziko panuje zejména u levných „no-name“ hodinek z Číny, u nichž nemáme žádnou jistotu v tom, co se s hodinkami děje a jaká data o nás hodinky, respektive mobilní aplikace, odesílají do světa.

Pokud nejsou data hodinek šifrovaná, mohou nad nimi hackeři převzít vzdáleně kontrolu nebo je využít pro svůj prospěch.

Třeba historii polohy – díky záznamu GPS se někdo nepovolaný může podívat, jak se v rámci dne pohybujete. V kolik hodin opouštíte dům či byt, jakou trasou se pravidelně vydáváte nebo kdy se domů vracíte.

Právě to bylo součástí gigantické kauzy aplikace Strava, do které se nahrávají data o pohybu z kompatibilních hodinek. Strava ukázala globální heatmapu, která využila miliardy GPS záznamů, aby ukázala, na jakých místech se sportuje.

Tato mapa však byla natolik detailní, že odhalila tajné vojenské základny USA, Ruska a Francie v Sýrii, Afghánistánu a Somálsku.

Vojáci totiž nosili hodinky a sportovali často kolem základen, a jejich půdorys tím nevědomky vykreslili do map. Od té doby mají někteří vojáci zakázáno nosit soukromé hodinky se záznamem GPS, minimálně u těch na zahraničních misích.

Ve stejném roce bylo možné u hodinek Polar zobrazit na mapě aktivitu konkrétních uživatelů. Díky investigativním novinářům bylo dokonce možné u uživatelů, kteří zapínají aktivity u hodinek hned, jak zabouchnou dveře od domu či bytu, zjistit přesné místo bydliště a jména tisíců vojáků a agentů tajných služeb. Polar tuto funkci následně okamžitě deaktivoval.

Dnes je problémem spíše špehování dětí nebo seniorů (ano, zní to trochu nepatřičně) prostřednictvím hodinek.

Třeba notifikacemi na takzvaný geofencing (uživatel opustí vytyčenou bezpečnou zónu) nebo dokonce odposlech hodinek bez vědomí jejich nositele. A kdo ví, co všechno ještě mohlo zůstat neodhaleno?

V telefonu a hodinkách si můžete maximálně omezit viditelnost svého profilu nebo svých aktivit, popřípadě nastavit různé soukromé zóny, v nichž aktivity nebudou vidět. Bude to ale po tak dlouhé době, kdy jste sdílení svých osobních dat neřešili, opravdu stačit?

Naše domovy jsou plné kamer, mikrofonů a mobilních snímačů, které jsou přes internet připojené ke společnostem, které vlastně sotva známe. A tato zařízení mohou bez problémů sdílet vaše soukromé údaje, aniž byste o tom měli sebemenší tušení.

A když někdo technicky znalý sdílení zablokuje, tato zařízení mohou být na dálku vyřazena z provozu.

Pod pojmem „chytré zařízení“ tak spíše hledejte „nedostatek uživatelské kontroly“.

Když je něco levné, může to potenciálně znamenat ohrožení soukromí. A i samotné pohodlí může často zahrnovat skryté sledování.

Ke všem chytrým zařízením byste měli přistupovat jako k hostům, kteří k vám přijdou na návštěvu. Těm totiž také nebudete ukazovat vše v domě ani tolerovat vstup na místa, která mají návštěvám zůstat zapovězená.

I tady platí obligátní „důvěřuj, ale prověřuj“.

Zdroje:

https://codetiger.github.io/blog/the-day-my-smart-vacuum-turned-against-me/

https://www.thestatesman.com/technology/your-smartphone-is-a-silent-spy-iit-delhi-warns-of-hidden-gps-surveillance-1503505576.html

https://www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us-army-bases

https://www.tomshardware.com/tech-industry/big-tech/manufacturer-issues-remote-kill-command-to-nuke-smart-vacuum-after-engineer-blocks-it-from-collecting-data-user-revives-it-with-custom-hardware-and-python-scripts-to-run-offline

https://www.vice.com/en/article/this-woman-caught-her-husband-cheating-thanks-to-his-toothbrush/

https://www.ownthewatch.com/p/5-ways-your-smartwatch-is-tracking-you

https://www.schneier.com/blog/archives/2025/05/surveillance-via-smart-toothbrush.html

https://www.bitdefender.com/en-us/blog/hotforsecurity/polar-fitness-tracker-leaks-secret-military-locations-personal-info-spies