Luka w popularnych robotach sprzątających. Hakerzy mogą szpiegować użytkowników
Badacze bezpieczeństwa odkryli lukę w zabezpieczeniach robotów sprzątających Ecovacs. Urządzenia stają się łatwym celem dla hakerów, którzy mogą podglądać i podsłuchiwać użytkowników.
Roboty sprzątające zyskują na popularności, stając się nieodłącznym elementem wielu gospodarstw domowych. Dzięki zaawansowanej technologii, urządzenia potrafią samodzielnie odkurzać, mopować i dbać o porządek na podłogach, co znacznie ułatwia codzienne obowiązki.
Coraz więcej osób docenia ich wygodę, oszczędność czasu oraz efektywność w utrzymaniu czystości. Nie każdy jednak zdaje sobie sprawę, że niektóre urządzenia są łatwym celem dla hakerów.
Zbadali roboty sprzątające Ecovacs
Dennis Giese i Braelynn wystąpili na konferencji Def Con, gdzie przedstawili wyniki swoich badań dotyczących bezpieczeństwa robotów sprzątających firmy Ecovacs (m.in. Ecovacs Deebot serii 900, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA i Ecovacs Airbot ANDY). Badacze bezpieczeństwa odkryli szereg luk w zabezpieczeniach, które mogą zostać wykorzystane do zhakowania tych urządzeń i szpiegowania ich użytkowników. Sprawę opisuje serwis Tech Crunch.
„Ich bezpieczeństwo było naprawdę, naprawdę, naprawdę, naprawdę złe” – powiedział Giese serwisowi TechCrunch w wywiadzie przed wystąpieniem.
Wykryta luka umożliwia połączenie się z robotem przez dowolny telefon. W takiej sytuacji osoby postronne mogą przejąć kontrolę nad urządzeniem, odczytać mapy pomieszczeń, a nawet uzyskać dostęp do kamer i mikrofonów. Warto tutaj dodać, że roboty nie mają żadnej kontrolki, która informowałyby o działaniu kamery czy mikrofonu, więc użytkownicy byliby szpiegowani z ukrycia.
Dane przechowywane na robotach pozostają na serwerach w chmurze Ecovacs nawet po usunięciu konta użytkownika. Token uwierzytelniający również zostaje w chmurze, co pozwala na dostęp do robota nawet po usunięciu konta. Może to umożliwić szpiegowanie osoby, która kupiła robota z drugiej ręki.
Według badaczy, jeśli robot Ecovacs zostanie zainfekowany i znajdzie się w zasięgu innych robotów Ecovacs, urządzenia te również mogą zostać zhakowane.
Producent nie ułatwia sprawy
Badacze twierdzą, że próbowali skontaktować się z firmą Ecovacs, aby poinformować ją o wykrytych lukach w zabezpieczeniach, jednak nie otrzymali żadnej odpowiedzi. Obawiają się, że te słabe punkty wciąż nie zostały załatane i mogą zostać wykorzystane przez hakerów.
