Roboty domowe

Luka w popularnych robotach sprzątających. Hakerzy mogą szpiegować użytkowników

przeczytasz w 2 min.
Paweł Maziarz | Redaktor serwisu benchmark.pl
2 komentarzeDyskutuj z nami

Badacze bezpieczeństwa odkryli lukę w zabezpieczeniach robotów sprzątających Ecovacs. Urządzenia stają się łatwym celem dla hakerów, którzy mogą podglądać i podsłuchiwać użytkowników.

Roboty sprzątające zyskują na popularności, stając się nieodłącznym elementem wielu gospodarstw domowych. Dzięki zaawansowanej technologii, urządzenia potrafią samodzielnie odkurzać, mopować i dbać o porządek na podłogach, co znacznie ułatwia codzienne obowiązki.

Coraz więcej osób docenia ich wygodę, oszczędność czasu oraz efektywność w utrzymaniu czystości. Nie każdy jednak zdaje sobie sprawę, że niektóre urządzenia są łatwym celem dla hakerów.

Zbadali roboty sprzątające Ecovacs

Dennis Giese i Braelynn wystąpili na konferencji Def Con, gdzie przedstawili wyniki swoich badań dotyczących bezpieczeństwa robotów sprzątających firmy Ecovacs (m.in. Ecovacs Deebot serii 900, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA i Ecovacs Airbot ANDY). Badacze bezpieczeństwa odkryli szereg luk w zabezpieczeniach, które mogą zostać wykorzystane do zhakowania tych urządzeń i szpiegowania ich użytkowników. Sprawę opisuje serwis Tech Crunch.

„Ich bezpieczeństwo było naprawdę, naprawdę, naprawdę, naprawdę złe” – powiedział Giese serwisowi TechCrunch w wywiadzie przed wystąpieniem.

Wykryta luka umożliwia połączenie się z robotem przez dowolny telefon. W takiej sytuacji osoby postronne mogą przejąć kontrolę nad urządzeniem, odczytać mapy pomieszczeń, a nawet uzyskać dostęp do kamer i mikrofonów. Warto tutaj dodać, że roboty nie mają żadnej kontrolki, która informowałyby o działaniu kamery czy mikrofonu, więc użytkownicy byliby szpiegowani z ukrycia.

Podgląd z kamery robota Ecovacs
Podglądanie psa leżącego na kanapie może być najmniejszym problemem dla użytkowników robotów Ecovacs

Dane przechowywane na robotach pozostają na serwerach w chmurze Ecovacs nawet po usunięciu konta użytkownika. Token uwierzytelniający również zostaje w chmurze, co pozwala na dostęp do robota nawet po usunięciu konta. Może to umożliwić szpiegowanie osoby, która kupiła robota z drugiej ręki.

Według badaczy, jeśli robot Ecovacs zostanie zainfekowany i znajdzie się w zasięgu innych robotów Ecovacs, urządzenia te również mogą zostać zhakowane.

Producent nie ułatwia sprawy

Badacze twierdzą, że próbowali skontaktować się z firmą Ecovacs, aby poinformować ją o wykrytych lukach w zabezpieczeniach, jednak nie otrzymali żadnej odpowiedzi. Obawiają się, że te słabe punkty wciąż nie zostały załatane i mogą zostać wykorzystane przez hakerów.

Przeczytaj także:

Komentarze

2
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    digitmaster
    1
    Od kilu lat mówię o tym, że tego typu sprzęt bezpieczny nie jest. Od technologii lidar, którą można wykorzystywać w szerokiej skali do opracowywania wzorców, poprzez wbudowany soft który potrafi robić bruteforce na innych sieciach, po niezabezpieczony firmware który jest dziurawy i pozwala na przejęcie kontroli nad urządzeniem.
    Kolejne testy opierają się jednak na metodologii typowej dla sprzętu AGD, a przecież portal technologiczny powinien pokazać takie urządzenie jako element domowej sieci - urządzenie które wpuszczone na w nieodpowiedni sposób może być poważnym zagrożeniem dla użytkownika. Dlatego też powinno być ono testowane jak wpływa na sieć i czy przypadkiem nie ma np. podejrzanej komunikacji ze światem czy opublikowanych CVE które mogą prowadzić do exploitacji.
    • avatar
      Przem0l
      1
      Mam opisywany ozmo model 950 i musze przyznac ze jest glupi jak but. Jedzie w to samo miejsce po kilka razy a w inny pokoj nawet nie zajrzy. Resety do ustawien fabrycznych nie pomagaja, ponoc ten typ tak ma. Nie ma zadnej kontrolki nawet informujacej o ilosci pradu w baterii czy postepie prac (skoro juz ma mape to wie ile mu jeszcze zostalo). Bez apki nic nie da sie zrobic poza zwyklym odpaleniem robota. Ogolnie nie ma dostepu do danych ktore zbiera ani do miejsca w ktorym mozna zaznaczyc co ma zbierac i wysylac (albo i nie). Nie chce mowic ze "chinszczyzna tak ma" bo niechinskie produkty zachowuja sie podobnie. Siedzi tam jakis stary ubuntu z mega utrudnionym dostepem (fizyczne grzebanie w sprzecie) i zero dokumentacji. Ale czy w tesli macie latwy dostep do systemu i dokumentacje? I konto roota? :) Raczej nie, tak samo "nie" w przypadku telewizorow smart, pralek, lodowek, samodzielnie jezdzacych kosiarek czy nawet termomixow. Wszystko co nas otacza i jest "smart" jest super niebezpieczne i jest dziura w naszej sieci co najczesciej jest kwitowane porada zeby trzymac urzadzenia IoT w oddzielnej sieci. Ta siec powinna byc trzymana ze swiadomoscia ze bedzie to siedlisko hakerow, ciekawskich sasiadow i wirusow. Tego nie przeskoczymy bo jedno zhakowane urzadzenie bedzie robilo za serwer przesiadkowy dla "pentesterow" w calej sieci. I zawsze powtarzam to ostatnie zdanie do znudzenia bo to tak dziala.
      edit: zapomnialem dodac, ze sporo osob kupuje na aliexpress czy ebay/amazon (czyli towary sciagniete z aliexpress) inteligentne domofony i systemy monitoringu do mieszkania bedac w 100% przekonanym ze to jest bezpieczne i aktualizowane :). Zasada jest ta sama.

      Witaj!

      Niedługo wyłaczymy stare logowanie.
      Logowanie będzie możliwe tylko przez 1Login.

      Połącz konto już teraz.

      Zaloguj przez 1Login