Во всём виноваты хакеры! Хозяева девайсов в полном шоке.
В нескольких городах США злоумышленники смогли взломать роботы-пылесосы. Они управляли ими и выкрикивали непристойные фразы через встроенные динамики.
Все взломанные устройства были моделями Ecovacs Deebot X2 китайского производства. Именно эта модель была взломана, что указывает на серьёзную уязвимость в системе безопасности.
Дэниел Свенсон, юрист из Миннесоты, смотрел телевизор, когда его робот начал работать со сбоями. «Это было похоже на прерывистый радиосигнал или что-то в этом роде», — сказал он. «Можно было услышать обрывки чьего-то голоса».
Через приложение Ecovacs он увидел, что кто-то посторонний получил доступ к прямой трансляции с камеры и функции удалённого управления.
Списав это на какой-то сбой, мистер Свенсон сбросил пароль, перезагрузил робота и снова сел на диван рядом с женой и 13-летним сыном. Почти сразу же он снова начал двигаться. На этот раз не было никаких сомнений в том, что доносилось из динамика.
Прямо перед сыном мистера Свенсона громкий и чёткий голос выкрикивал расистские оскорбления. «С***ные н******», — снова и снова кричал голос. «У меня сложилось впечатление, что это был ребёнок, может быть, подросток [говоривший]», — сказал Свенсон. «Может быть, они просто переключались с одного устройства на другое, издеваясь над семьями». Во второй раз он выключил его.
Могло быть и хуже
Мистер Свенсон хранил своего робота-пылесоса на том же этаже, где находится главная ванная комната его семьи.
"Наши младшие дети часто принимают душ там, — объяснил он. — Я просто подумал, что робот может увидеть моих детей или даже меня в, ну, вы знаете, не совсем одетым".
Несмотря на оскорбления, мистер Свенсон был рад, что хакеры так открыто заявили о своём присутствии. По его словам, было бы гораздо хуже, если бы они решили незаметно наблюдать за его семьёй в их доме.
Они могли бы увидеть через камеру его робота и услышать через микрофон, а он бы даже не догадался об этом.
«Это было шоком, — сказал он. — А потом я почти почувствовал страх и отвращение».
Хотя его сын не совсем понял, насколько «жуткой» была эта ситуация, мистер Свенсон решил не рисковать. Он отнёс устройство в гараж и больше никогда его не включал.
Роботов взломали в нескольких городах
Несколько человек, все из США, сообщили о схожих случаях взлома в течение нескольких дней друг за другом. В тот же день, когда было взломано устройство мистера Свенсона, робот Deebot X2 вышел из-под контроля и преследовал собаку своего владельца по дому в Лос-Анджелесе.
Роботом управляли дистанционно, а через динамики звучали оскорбительные комментарии. Пять дней спустя было взломано ещё одно устройство. Поздно ночью робот-пылесос Ecovacs в Эль-Пасо начал выкрикивать расистские оскорбления в адрес своего владельца, пока тот не отключил его.
Неизвестно, сколько всего устройств компании было взломано. Полгода назад исследователи в области безопасности попытались сообщить Ecovacs о серьёзных уязвимостях в безопасности роботов-пылесосов и приложения, которое ими управляет.
Самой серьёзной проблемой был недостаток в разъёме Bluetooth, который позволял получить полный доступ к Ecovacs X2 с расстояния более 100 метров. Учитывая распределённый характер атак, маловероятно, что в данном случае была использована эта уязвимость.
Также было известно, что система PIN-кодов, защищающая видеопоток робота и функцию удалённого управления, была неисправна, а предупреждающий звук, который должен воспроизводиться при наблюдении за камерой, можно было отключить дистанционно.
Эти проблемы с безопасностью могут объяснить, как злоумышленники получили контроль над несколькими роботами в разных местах и как они могли незаметно следить за своими жертвами после проникновения.
Ecovacs подтверждает кибератаку на роботы-пылесосы
Через несколько дней после инцидента с его роботом-пылесосом Ecovacs Дэниел Свенсон подал жалобу в компанию. После нескольких звонков в службу поддержки он получил звонок от старшего сотрудника Ecovacs из США. «Он, должно быть, раз пять или шесть сказал, что мне нужно снять видео того, что произошло.
«Каждый раз я говорил ему: «Да, это было бы здорово, но я больше сосредоточен на том, что взломанный робот стоит посреди моей гостиной, наблюдает за нами и, возможно, записывает нас».
Сотрудник, казалось, не верил своим словам, говорит мистер Свенсон, несмотря на то, что несколько других владельцев сообщили о подобных атаках примерно в то же время.
«Было ли это попыткой убедить меня не рассматривать мои жалобы?» — задаётся вопросом он. После этого звонка ему сообщили о «расследовании в целях безопасности». «Ваша учётная запись Ecovacs и пароль к ней были получены неуполномоченным лицом», — написал представитель компании в электронном письме.я команда компании определила IP-адрес злоумышленника и отключила его, чтобы предотвратить дальнейший доступ.
В более позднем электронном письме они сообщили ему, что «существует высокая вероятность того, что ваша учётная запись Ecovacs подверглась кибератаке с использованием учётных данных».
Это происходит, когда кто-то повторно использует одно и то же имя пользователя и пароль на нескольких веб-сайтах, и комбинация украдена в ходе отдельной кибератаки. Компания сообщила, что «не нашла доказательств» того, что учётные записи были взломаны в результате «какого-либо нарушения систем Ecovacs».
Возможно, виной всему известная брешь в системе безопасности
Даже если мистер Свенсон использовал те же имя пользователя и пароль на других сайтах и если эти учетные данные просочились в Сеть, этого все равно было недостаточно для доступа к видеотрансляции или удаленного управления роботом. Предполагается, что эти функции защищены четырехзначным PIN-кодом.
Однако в декабре 2023 года на хакерской конференции пара исследователей в области кибербезопасности продемонстрировала, что систему можно обойти. Выступая на сцене, Деннис Гизе и Брейлинн Людтке объяснили, что их подход основан на так называемой «системе чести».
PIN-код был проверен только приложением, а не сервером или роботом. Это означает, что любой, обладающий техническими знаниями, мог полностью обойти проверку.
Они предупредили Ecovacs о проблеме, прежде чем обнародовать уязвимость. Представитель Ecovacs заявил, что в настоящее время этот недостаток устранен, однако г-н Гизе сказал, что исправлений компании было недостаточно для устранения дыры в безопасности.
Представитель компании также сообщил, что они отправили быстрое электронное письмо» с инструкциями для клиентов по смене паролей после инцидента.
Ecovacs заявила, что выпустит обновление безопасности для владельцев серии X2 в ноябре. Мистер Свенсон сказал, что ни в одном из его сообщений с Ecovacs его не проинформировали о проблеме с PIN-кодом. «Я спросил их, известно ли им об этом, — сказал он. — Случалось ли такое с другими людьми». – Они просто ведут себя шокировано, как будто ничего не произошло.
.