V několika amerických městech majitelé robotických vysavačů hlásí, že jejich zařízení byla napadena hackery. Neznámí útočníci získali přístup k živým kamerovým přenosům a funkcím dálkového ovládání, přičemž skrze zabudované reproduktory vykřikují urážky. Podle šetření ABC některé roboty dokonce "zešílely" a honily po domě psy.
Podrobnosti incidentu
Všechny postižené modely byly čínské výroby Ecovacs Deebot X2, které se v současnosti prodávají za přibližně 22 500 Kč. Společnost Ecovacs potvrdila zranitelnost některých svých produktů.
Podle zprávy ABC hackerský útok trval několik dní a zasáhl více amerických měst. Někteří uživatelé uvedli, že jejich roboty vydávaly zvuky podobné rušeným rádiovým signálům. Aplikace Ecovacs odhalila, že útočníci získali přístup k živému kamerovému přenosu a funkci dálkového ovládání.
Majitelé byli šokováni zjištěním, že robot mohl být použit k tichému špehování po dobu několika dní. I přes resetování hesla a restartování robota se brzy nevyzpytatelné chování opět objevilo.
Bezpečnostní problémy
Bezpečnostní výzkumníci již dříve upozornili Ecovacs na významné bezpečnostní nedostatky:
- Zranitelnost Bluetooth připojení umožňovala plný přístup k modelu X2 ze vzdálenosti přes 100 metrů.
- Problém s PIN kódem chránícím video přenos a funkci dálkového ovládání robota.
- Hackeři dokázali deaktivovat varovný zvuk, který by měl zaznít při použití kamery.
Výzkumníci v oblasti kybernetické bezpečnosti dříve demonstrovali, jak lze obejít čtyřmístný PIN chránící zařízení, protože byl kontrolován pouze aplikací, nikoli serverem nebo robotem.
Mohlo by vás zajímat
Reakce společnosti Ecovacs
Ecovacs sdělila ABC, že nenašla důkazy o hacknutí účtů majitelů ani známky narušení systémů Ecovacs. Společnost vydala záplatu pro zjištěnou zranitelnost, ale zdroje ABC uvádí, že byla nedostatečná.
Koncem května 2024 Ecovacs identifikovala útok typu credential stuffing, kdy z jedné IP adresy přišlo více pokusů o přihlášení. Tato adresa byla okamžitě zablokována.
Ecovacs plánuje další zvýšení bezpečnosti série X2 vydáním aktualizace firmwaru v listopadu. Společnost také doporučuje uživatelům provést vlastní kroky ke zlepšení osobní online bezpečnosti, jako je používání silných a unikátních hesel a posílení zabezpečení Wi-Fi.
Tento incident zdůrazňuje důležitost kybernetické bezpečnosti v domácích zařízeních a nutnost neustálého zlepšování bezpečnostních opatření v oblasti internetu věcí.