В Пало-Альто светофоры начали рассуждать о политике. Оказалось, это не восстание машин, а просто дефолтный пароль

Подмена аудио на пешеходных переходах вскрыла классическую ошибку, которую до сих пор допускают даже госслужбы.

Жители Пало Алто и соседних городов в апреле неожиданно услышали на обычных пешеходных переходах голоса, которые звучали как Илон Маск и Марк Цукерберг. «Говорящие» светофоры на историческом маршруте El Camino Real вдруг начали воспроизводить странные, местами грубоватые шутки, в том числе про Дональда Трампа и навязчивый ИИ. Выглядело это как розыгрыш, но за ним стояла вполне реальная уязвимость.

Теперь стало известно, как именно хакерам удалось подменить аудиосообщения в устройствах. По данным переписки, которую журналисты получили через запросы по закону о публичных документах Калифорнии, проблема была до смешного простой. Caltrans, агентство, которое отвечает за часть дорожной инфраструктуры штата, не сменило заводские пароли, установленные производителем. В итоге доступ к настройкам оставался защищён стандартными учётными данными, и злоумышленники смогли заменить звуковые файлы на свои записи с имитацией голосов известных людей.

Инциденты затронули Пало Алто, Менло Парк и Редвуд Сити. Когда подмена вскрылась, Caltrans на время отключило функцию озвучивания, чтобы остановить воспроизведение фальшивых сообщений. Позже аудиорежим вернули, но параллельно начали разбираться с тем, почему вообще стала возможна такая атака.

Из писем следует, что производитель оборудования отдельно предупреждал Caltrans и власти Менло Парка о необходимости использовать надёжные пароли. При этом представитель Менло Парка отметила, что пострадали только те устройства, которые принадлежали Caltrans. В Caltrans сообщили, что после проверки нашли и другие перекрёстки, где пароли тоже требовали замены. Их заменили, чтобы снизить риск повторения подобных случаев.

Любопытно, что «старые» системы оказались устойчивее. На перекрёстке El Camino Real и Ravenswood подобного взлома не было. По словам профессора инженерного факультета Университета штата Сан Хосе Ахмеда Банафы, в прежних решениях управление часто завязано на центральный блок, который обслуживает несколько точек сразу. Чтобы вмешаться, злоумышленнику пришлось бы физически открыть такой блок и загрузить данные вручную. А вот новые системы используют Bluetooth, и к ним можно попытаться подключиться по радиоканалу, находясь рядом с устройством, например со смартфоном.

Самые обсуждаемые «реплики» прозвучали на University Avenue в Пало Алто. Пешеходы слышали голос Илона Маска, который рассуждал о Трампе, а на фоне появлялись вставки с имитацией чужих реплик. Другой взломанный сигнал представлялся Марком Цукербергом и язвительно комментировал то, как ИИ «встраивают во все стороны человеческого опыта», добавляя, что остановить это якобы невозможно.

Вся история получилась особенно местной по оттенку. Маск действительно жил в Пало Алто во времена PayPal, а штаб-квартира Tesla много лет находилась в этом городе. Meta (Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.) располагается в Менло Парке, и Цукерберг связан с районом не только офисом компании, но и недвижимостью. Но этот «контекст Кремниевой долины» не меняет главного вывода. Иногда громкие взломы начинаются не с хитрой уязвимости в протоколе, а с банальной привычки оставлять пароль таким, каким его придумали на заводе.