Пользователи роботов-пылесосов Ecovacs Deebot X2 в нескольких городах США столкнулись с неприятной ситуацией — их устройства были взломаны хакерами. Злоумышленники получили возможность дистанционно управлять пылесосами и через их динамики транслировали расистские оскорбления, шокировав владельцев.
🔔 Реальные инциденты
Дэниел Свенсон, адвокат из Миннесоты, стал одной из жертв этой атаки. Его робот-пылесос начал издавать странные звуки, напоминающие прерывистый радиосигнал. Проверив мобильное приложение Ecovacs, Дэниел обнаружил, что неизвестный получил доступ к камере и функции дистанционного управления устройством. Поначалу он предположил, что это всего лишь технический сбой, и сменил пароль, перезагрузив пылесос. Однако вскоре устройство снова ожило и из его динамиков раздались громкие расистские оскорбления.
24 мая в Лос-Анджелесе произошёл подобный инцидент: взломанный робот-пылесос начал преследовать собаку владельцев, выкрикивая оскорбления через свои динамики. Через несколько дней, в Эль-Пасо, ещё один робот Ecovacs был взломан и транслировал расистские оскорбления, пока владелец не отключил устройство от сети. Эти события вызвали тревогу как среди пользователей, так и среди экспертов по кибербезопасности.
🔔 Предупреждения о безопасности
Шесть месяцев назад исследователи по кибербезопасности уже предупреждали Ecovacs о критических уязвимостях в их устройствах. Они обнаружили проблему с беспроводным соединением, которая позволяла хакерам управлять пылесосами на расстоянии до 100 метров. Несмотря на предупреждения, компания не приняла необходимых мер, что привело к массовым взломам в мае этого года.
🔔 Обращения пользователей
После инцидента Дэниел Свенсон обратился в службу поддержки Ecovacs, но его запрос встретили с недоверием. Представитель компании несколько раз спрашивал, существует ли видеозапись произошедшего, хотя Дэниел настаивал, что его больше беспокоит сам факт взлома и нарушение конфиденциальности. Такое отношение заставило его усомниться в готовности компании решить проблему.
🔔 Доказательства уязвимости
В декабре 2023 года исследователи Деннис Гизе и Брейлин Людтке представили доказательства уязвимости PIN-кода в роботах Ecovacs. Они указали, что проверка PIN-кода выполнялась только на уровне приложения, а не на сервере или устройстве, что позволяло хакерам легко обходить защиту. Несмотря на заявления компании об исправлении уязвимости, эксперты считают, что предпринятых мер оказалось недостаточно.
Я также завёл канал в Telegram, там можно удобно отслеживать анонсы новых новостей, если есть желание подписаться, то нажимай сюда 👈