Smart uy maskasining xavfsizlik xatosi: EEG ma'lumotlari ochiq MQTT brokerga oqadi

So'nggi paytlarda Kickstarter orqali sotuvga chiqarilgan aqlli uy maskasi, foydalanuvchilarning miyasi faoliyatini o'lchash, ko'z atrofidagi mushaklarni elektr stimulyatsiya qilish, titrash, isitish va audio funksiyalarini birlashtirgan bir qurilma sifatida e'tiborni tortdi. Biroq, ushbu qurilmaning xavfsizlik nuqtai nazaridan chuqur tahlili, foydalanuvchilarning EEG (elektroensefalografiya) ma'lumotlari ochiq MQTT brokerga uzatilishini va shu orqali boshqa foydalanuvchilarga elektr impuls yuborish imkoniyatini ko'rsatdi.

Bluetooth protokoli va ilova tahlili

Qurilma Bluetooth Low Energy (BLE) orqali telefon yoki kompyuterga ulanadi. Dastlabki tahlil 35 ta yaqin qurilmadan maskani topib, ikki alohida ma'lumot kanali – buyruqlarni yuborish va ma'lumot oqimini qabul qilish – aniqladi. Standart protokol (Modbus, JSON) ishlatilmaganligi sababli, qurilma o'ziga xos maxsus protokolga ega ekanligi aniqlandi.

Ilova Android APK formatida bo'lib, Flutter platformasida yaratilgan. Flutter kodlari Dart tilida yozilib, ARM64 mashina kodiga kompilyatsiya qilinganligi sababli, oddiy dekompilyatsiya usullari yetarli bo'lmadi. Ammo, binar faylda joylashgan matnli satrlar (xato xabarlari, URL manzillar, debug loglari) orqali quyidagi muhim ma'lumotlar topildi:

• Brokerga kirish uchun qattiq kodlangan foydalanuvchi nomi va parol.
• Bulut API endpointlari.
• 15 ta buyruq funksiyasi nomi (vibratsiya, isitish, EMS va hokazo).
• Paket tuzilishi: sarlavha, yo'nalish bayti, buyruq turi, ma'lumot, yakuniy bayt.

Keyinchalik, blutter vositasi yordamida Flutter snapshotlari dekompilyatsiya qilindi va barcha buyruqlarning bayt kodlari aniqlandi.

Qurilma ma'lumotlari va nazorat paneli

6 baytli so'rov paketini yuborish orqali qurilmadan 153 baytli javob olingan. Unda model raqami, firmware versiyasi, seriya raqami, 8 ta sensor konfiguratsiyasi (EEG 250 Hz, nafas olish, 3‑o‘qli akselerometr, 3‑o‘qli gyroskop) hamda batareya darajasi (83 %) keltirilgan.

Vibratsiya, isitish, EMS (elektrik mushak stimulyatsiyasi) va audio funksiyalarini boshqarish uchun veb‑dashboard yaratildi. Slayderlar yordamida foydalanuvchi har bir funksiyani real vaqt rejimida sozlashi mumkin.

MQTT brokeridagi xavf

Qattiq kodlangan brokerga kirish ma'lumotlari orqali MQTT (Message Queuing Telemetry Transport) brokeriga ulanildi. Bu protokol IoT qurilmalarida keng qo‘llaniladi: qurilmalar sensor ma'lumotlarini “publish” qiladi, boshqaruv buyruqlarini esa “subscribe” qiladi.

Ulanish muvaffaqiyatli amalga oshirildi va bir vaqtning o‘zida 25 ta turli qurilmadan ma'lumot oqimi kuzatildi:

• EEG signallari uzatadigan uy maskalari.
• Harorat, namlik, CO₂ darajasini o‘lchaydigan havoni sifatini nazorat qiluvchi sensorlar.
• Xonada odam bor‑yo‘qligini aniqlaydigan harakat sensorlari.

Ikki ta maskadan olingan EEG ma'lumotlari tahlil qilindi: biri REM uy holatida, ikkinchisi esa chuqur delta to‘lqinlari bilan chuqur uyda edi. Bu ma'lumotlar real insonlarning miyasi faoliyatini butun dunyodan uzatmoqda.

Elektr stimulyatsiya xavfi

Maska EMS funksiyasini ham MQTT orqali boshqarish mumkin. Shunday ekan, bir foydalanuvchi boshqa foydalanuvchining maskasiga elektr impuls yuborish imkoniyatiga ega bo‘lishi mumkin. Bu esa maxfiylik va sog‘liq xavfsizligi nuqtai nazaridan jiddiy tahdid hisoblanadi.

Nima qilish kerak?

Muallif ishlab chiqaruvchini bu muammo haqida xabardor qilgan, lekin hozircha mahsulot nomi yoki kompaniya ma'lumotlari oshkor qilinmagan. Xavfsizlik mutaxassislari, ayniqsa IoT qurilmalari ishlab chiquvchilari, har bir qurilma uchun alohida, xavfsiz autentifikatsiya mexanizmini joriy qilishlari, ma'lumot uzatish kanallarini shifrlashlari va foydalanuvchi ma'lumotlarini anonimlashtirishlari lozim.

Ushbu holat, IoT ekotizimida “digital hygiene” (raqamli gigiena) tamoyillarini qayta ko‘rib chiqish zarurligini yana bir bor ta’kidlaydi. Har bir qurilma, hatto uyda foydalaniladigan kichik gadget bo‘lsa ham, foydalanuvchi maxfiyligini himoya qilish uchun qat’iy xavfsizlik standartlariga rioya qilishi kerak.