В мае текущего года в различных городах США произошла серия атак на роботы-пылесосы Ecovacs Deebot X2. Злоумышленники использовали уязвимости в устройствах для удаленного управления ими, доступа к камерам и встроенным динамикам. Они также оскорбляли владельцев и преследовали их домашних животных.
В последнем выпуске подкаста Метод хакера мы как раз разбирали возможности слежки за пользователями через домашние устройства, один из примеров был - роботы-пылесосы. За нами и подсматривают, и подслушивают. Вы же тоже замечали появляющуюся рекламу после разговора о чем-либо? Послушайте 5 выпуск, узнаете много нового.
Одним из пострадавших стал юрист из Миннесоты Дэниел Свенсон. Он рассказал, что в мае 2024 года во время просмотра телевизора с семьей его робот-пылесос начал издавать странные звуки. Войдя в приложение, Свенсон обнаружил, что устройством удаленно управляет посторонний человек, наблюдающий за происходящим через камеру. Попытка сбросить пароль и перезагрузить устройство не помогла: через некоторое время пылесос снова активировался, но из динамика раздался человеческий голос, выкрикивающий расистские оскорбления.
Свенсон был вынужден отключить пылесос и убрать его подальше. Ранее пылесос работал на одном этаже с хозяйской спальней, где принимают душ младшие дети Свенсона. Он опасался, что хакеры могут тайно следить за его семьей.
Другие случаи атак на пылесосы Ecovacs произошли в Лос-Анджелесе и Эль-Пасо через несколько дней. В Лос-Анджелесе робот-пылесос гонялся за собакой, а хакер выкрикивал оскорбления из динамика. В Эль-Пасо устройство также использовалось для трансляции расистских заявлений, пока владелец не отключил его.
Журналисты отмечают, что неясно, сколько всего роботов-пылесосов Ecovacs подверглись атакам.
В прошлом году ИБ-исследователи выявили уязвимость в моделях Deebot X2, позволяющую обойти ввод PIN-кода и получить полный контроль над устройством. Специалисты рассказали об этой проблеме на конференции Chaоs Communication Congress.
Недавно в устройствах Ecovacs был обнаружен другой баг, также позволяющий захватить контроль над устройством. Однако эта уязвимость связана с Bluetooth и работает только на расстоянии около 100 метров, что вряд ли имеет отношение к описанным атакам.
Представители Ecovacs заверили СМИ, что проблема с взломами уже устранена. Обновление прошивки для «дальнейшего повышения безопасности» выйдет в середине ноября 2024 года. В компании подчеркнули, что «нет никаких свидетельств того, что имена пользователей и пароли были получены неавторизованными третьими лицами».
Однако пострадавшие пользователи критикуют компанию за медленную реакцию. Свенсон рассказал, что в поддержке Ecovacs ему сначала не поверили, когда он попытался уведомить их о взломе пылесоса. В компании спрашивали, нет ли у него видеозаписи произошедшего.
Затем служба поддержки предположила, что хакеры могли получить доступ к устройству через атаку типа credential stuffing. Специалисты, изначально обнаружившие уязвимость PIN-кодов, сообщили журналистам, что в Ecovacs до сих пор не устранили эту проблему полностью.