Оновлення прошивки Echelon викликало дискусії про залежність користувачів

Головна — News — Оновлення прошивки Echelon викликало дискусії про залежність користувачів

Наприкінці липня 2025 року компанія Echelon здійснила тиху оновлення програмного забезпечення, яке фактично відключає критично важливі функції її розумного домашнього спортивного обладнання, коли пристрої не підключені до Інтернету. Цей крок викликав жваві дискусії про прив’язку до апаратного забезпечення, права на дані та залежність від тривалого обслуговування на ринку фітнесу в IoT.

Передумови: Що змінилося в останньому оновленні

Згідно з детальним блогом розробника Роберто Віоли, який підтримує інтеграційний додаток QZ (qdomyos-zwift), оновлення Echelon тепер вимагає обов’язкової аутентифікації на сервері при кожному запуску пристрою:

“При запуску пристрій ПОВИНЕН увійти на сервери Echelon. Сервер повертає тимчасовий ключ розблокування. Без цього рукостискання пристрій стає абсолютно непридатним — жодних ручних тренувань, жодного Bluetooth з’єднання, нічого.”

Раніше обладнання Echelon працювало в “офлайн-режимі”, надаючи дані про Bluetooth безпосередньо третім особам, таким як QZ, Peloton, Strava та Apple HealthKit. Після встановлення прошивки v3.12.0 користувачі повідомляють, що:

Дані про швидкість, каденцію та потужність більше не передаються через стандартні BLE профілі.

Пристрої відмовляються запускати будь-які тренування без доступу до Інтернету.

Інтеграції з третіми сторонами тихо зазнають невдачі, блокуючи з’єднання з Zwift та іншими платформами.

«Лаптоп-ферма» Північної Кореї: американські дані живлять кіберприбуток

2025-07-26

Вплив на сторонні додатки та офлайн-тренування

Віола вперше помітив ознаки проблем наприкінці 2024 року серед власників бігових доріжок, а потім підтвердив це з користувачами велосипедів Echelon у липні 2025 року. Без рукостискання “ключа розблокування” додатки QZ та подібні не можуть виявити сенсори пристрою, залишаючи зростаючу спільноту користувачів без можливості експортувати дані тренувань або брати участь у віртуальних поїздках.

Постраждалі моделі включають Connect EX-5S, EX-7S та нещодавні гребні тренажери і бігові доріжки. Офлайн-тренування, ручні налаштування опору та прості метрики консолі — функції, які раніше повністю працювали на локальних мікроконтролерах — тепер прив’язані до хмарної платформи Echelon.

Технічний аналіз: Механізм аутентифікації прошивки

Експерти галузі зазначають, що нова аутентифікація використовує взаємну TLS-рукостискання в поєднанні з обертовими сесійними токенами. При кожному запуску вбудована реального часу ОС пристрою ініціює сертифікатну DTLS з’єднання до api.echelonfit.com. Успішне рукостискання забезпечує часовий JWT, який використовується для розблокування системних сервісів:

Пристрій завантажується, завантажує завантажувач та ядро.

Мікроконтролер надсилає HTTPS запит з ідентифікатором пристрою та хешем прошивки.

Сервер перевіряє підпис, видає епhemeral JSON Web Token.

Токен розблоковує модулі прошивки; відсутність токена призводить до негайного вимкнення.

Хоча ця архітектура посилює контроль над оновленнями програмного забезпечення та зменшує ризик несанкціонованих зломів, це також означає єдину точку відмови: втрата доступності сервера назавжди робить обладнання непридатним.

Зростання атак на ланцюги постачання у відкритому програмному забезпеченні

2025-07-25

Бізнес-модель та прив’язка до постачальника

Основні джерела доходу Echelon поєднують продажі обладнання з підпискою на додаток, що коштує $40 на місяць. Підписка відкриває доступ до живих занять, мальовничих поїздок та персонального тренерства. Обмежуючи офлайн-використання та інтеграції з третіми сторонами, Echelon фактично спрямовує всі тренування через свою екосистему, консолідуючи дані для аналітики, маркетингу та додаткових продажів.

“З бізнесової точки зору це забезпечує повторюваний дохід і цінні метрики використання,” говорить доктор Прія Ханна, економіст у сфері IoT. “Але це також знижує автономію користувачів, піднімаючи питання антимонопольного законодавства та захисту споживачів, якщо обладнання не може функціонувати, поки компанія залишається платоспроможною.”

Вплив на галузь: Підключене обладнання та права споживачів

Виробники IoT у різних секторах стикаються з подібними компромісами: OTA-оновлення можуть усувати вразливості та додавати функції, але вони також можуть забирати обіцяні можливості після продажу. У 2024 році суперечки щодо прив’язки Nest та припинення доступу до локального API Philips Hue викликали регуляторний контроль у ЄС. Адвокати прав споживачів попереджають, що “продукти, визначені програмним забезпеченням”, вимагають нових рамок гарантії та прав власності.

“Коли поведінка пристрою залежить від віддаленого сервера, право власності стає умовним,” зазначає Джейн Сіммонс, технологічний фелло EFF. “Законодавство, таке як Цифровий паспорт продукту ЄС, є кроком вперед, але його реалізація залишається складною.”

Ультиматум Трампа щодо TikTok: Виклики безпеки та торгівлі

2025-07-24

Обходи користувачів та рішення з відкритим кодом

У відповідь спільнота QZ ініціювала відкритий проект під назвою FreeEche, метою якого є реверс-інжиніринг протоколу аутентифікації. Перші прототипи використовують спеціальну прошивку, завантажену через інтерфейс JTAG пристрою, щоб обійти рукостискання. Однак цей підхід:

Анулює гарантії та порушує правила DMCA про антиобхідні заходи в деяких юрисдикціях.

Вимагає пайки та розвинених навичок роботи з апаратним забезпеченням для доступу до тестових контактів на PCB.

Залишається нестабільним, поки проект повністю не відтворить логіку TLS та JWT локально.

“FreeEche все ще має альфа-якість,” попереджає Віола. “Але це єдиний шлях для користувачів, які відмовляються жертвувати приватністю та офлайн-свободою заради прив’язки до підписки.”

Перспективи: Стійкість та регулювання

Оскільки розумне обладнання все більше залежить від хмарних платформ, споживачі та регулятори повинні зважити зручність проти контролю. Потенційні рішення можуть включати:

Обов’язковий доступ до локального API: Вимагати від виробників підтримки зашифрованих локальних потоків даних.

Подовжені гарантії обслуговування: Зобов’язати компанії підтримувати роботу серверів протягом гарантійного терміну або пропонувати відкат прошивки.

Відкриті стандарти: Сприяти розвитку взаємодіючих протоколів для телеметрії фітнес-пристроїв.

У міру зростання кількості пристроїв IoT, дискусія навколо Echelon підкреслює ширшу необхідність: чіткі права користувачів на функціональність та дані, незалежно від підключення до Інтернету чи фінансової стабільності компанії.