A hackerek átveszik az irányítást a robotporszívók felett több városban
Néhány nap leforgása alatt több amerikai városban is feltörték a robotporszívókat. A támadók átvették az irányítást ezek felett a készülékek felett, és a beépített hangszórókon keresztül rasszista megjegyzéseket kiabáltak. Az érintett eszközök mindegyike kínai gyártmányú Ecovacs Deebot X2 volt, egy modell, amelyről korábban már kiderült, hogy súlyos biztonsági sebezhetőségekkel rendelkezik.
A támadók nemcsak hangszórón keresztül kommunikáltak, hanem hozzáfértek a porszívók kameráihoz is, ami komoly adatvédelmi kockázatokat vetett fel. A robotokat az alkalmazásukon keresztül irányították, és a támadók képesek voltak távolról figyelni az otthonokat anélkül, hogy a tulajdonosok tudtak volna róla.
Elszabadult robotok
Az egyik esetben Daniel Swenson minnesotai lakos otthonában indult meg váratlanul a porszívó, miközben a család a nappaliban tartózkodott. A robot trágár és rasszista megjegyzéseket közvetített, ami komoly megdöbbenést okozott.
A minnesotai ügyvéd éppen tévét nézett, amikor a robotja ezt a szokatlan viselkedést mutatta. Ezt valamiféle hibának tekintette, visszaállította a jelszót, újraindította a robotot, és visszaült a kanapéra a felesége és 13 éves fia mellé.
A gép szinte azonnal újra mozgásba lendült, és újra szokatlan szöveget produkált. A szöveg ezúttal nem volt félreérthető. Egy hang rasszista trágárságokat kiabált, hangosan és tisztán, közvetlenül Swenson fia előtt.
„Úgy hangzott, mint egy megszakadt rádiójel vagy valami ilyesmi” – nyilatkozta később az ABC-nek Daniel, aki – elmondása szerint – az Ecovacs alkalmazáson keresztül látta, hogy egy idegen hozzáfér az élő kameraképhez és a távvezérlő funkcióhoz. „Az volt a benyomásom, hogy egy gyerek, talán egy tinédzser beszél” – mondta Swenson, aki akkor azonnal intézkedett, és leállította a készüléket.
Rosszabbul is alakulhatott volna
Swenson a robotporszívót ugyanazon az emeleten tartotta, ahol a család fő fürdőszobája található.
„A legkisebb gyerekeink ott zuhanyoznak” – mondta. „Az incidens után arra gondoltam, hogy simán láthatta volna a gyerekeimet, vagy akár engem is zuhanyzás után, amikor még nem vagyok felöltözve.”
Bár a szidalmak nem voltak kellemesek, Daniel mégis örült, hogy a hackerek ilyen formában „bejelentkeztek”, hiszen ezzel önmagukat leplezték le.
Szerinte sokkal rosszabb lett volna, ha úgy döntenek, hogy csendben megfigyelik a családját az otthonukban.
A robot kameráján keresztül kukkolhattak, és a mikrofonon keresztül hallgatózhattak, anélkül, hogy erről a leghalványabb fogalmuk lett volna róla.
„Sokkoló volt ez a felismerés” – mondta. „Félelem és undor fogott el tőle.” Az ügyvéd nem kockáztatott. Elvitte a készüléket a garázsba, és soha többé nem kapcsolta be.
Hasonló incidensekről számoltak be más városokban is, többek között Los Angelesben és El Pasóban.
Május 24-én, ugyanazon a napon, amikor Swenson készülékét is feltörték, egy Deebot X2 robot elszabadult, és Los Angeles-i otthonukban üldözte a család kutyáját.
A robotot távolról irányították, a hangszórókon keresztül pedig sértő megjegyzések hangzottak el.
A hackerek öt nappal később egy másik eszközbe is beszivárogtak. Késő este El Pasóban egy Ecovacs robot elkezdett faji szidalmakat szórni a tulajdonosára, amíg az ki nem húzta a készüléket a konnektorból.
Eddig nem ismert, hogy a vállalat hány készülékét hackelték meg világszerte.
Az Ecovacs robotjainak biztonsági hiányosságaira már korábban is figyelmeztettek biztonsági szakértők. A legnagyobb problémát a Bluetooth-kapcsolat okozta, amely lehetővé tette, hogy a támadók több mint 100 méterről is átvegyék az irányítást a készülékek felett. Emellett a PIN-kód rendszer is sebezhető volt, amelynek feladata lett volna megvédeni a robot kameráját és távoli irányítását.
Ezek a biztonsági problémák magyarázatot adhatnak arra, hogy a támadók hogyan vehették át az irányítást több, különböző helyszíneken lévő robot felett, és hogyan figyelhették meg áldozataikat a készüléken keresztül.
A robot videótovábbítását – és a távvezérlési funkciót – védő PIN-kódrendszer szintén hibásnak bizonyult, és a figyelmeztető hangot, amely a kamera figyelése esetén hivatott megszólalni, távolról is ki lehetett kapcsolni.
Az Ecovacs megerősítette a készüléket ért kibertámadást
Az esetek napvilágra kerülése után az Ecovacs közleményt adott ki, amelyben megerősítették a támadásokat. A vállalat kijelentette, hogy dolgoznak a probléma megoldásán, és biztonsági frissítést terveznek kiadni, hogy megakadályozzák a jövőbeni hasonló incidenseket. A támadások elkerülésére azt javasolják a felhasználóknak, hogy rendszeresen változtassák meg jelszavaikat, és alkalmazzák a legfrissebb biztonsági frissítéseket.