Хакеры взяли под контроль множество пылесосов Ecovacs в США

Все подвергшиеся атаке устройства — пылесосы Ecovacs Deebot X2s, высокотехнологичный китайский продукт стоимостью около 900 долларов. Производитель Ecovacs признал наличие уязвимости.

По данным ABC News (Австралия), хакеры воспользовались уязвимостью системы безопасности, чтобы проникнуть в систему пылесоса, заставив его издавать шумы, похожие на заглушенные радиосигналы, и позволив злоумышленникам просматривать изображение в реальном времени с помощью камеры и получать доступ к функциям удаленного управления.

Несмотря на многократную смену пароля и перезапуск устройства, странное поведение пылесоса необъяснимо повторялось. Больше всего владельцев напугало то, что устройство, возможно, уже давно тайно следило за ними.

Специалисты по безопасности неоднократно предупреждали компанию Ecovacs о серьёзных уязвимостях в её системах. В частности, уязвимость, связанная с подключением по Bluetooth, позволяет хакерам легко проникнуть в модель X2 с расстояния до 100 метров. Кроме того, PIN-код, защищающий видеотрансляцию и функцию дистанционного управления этим пылесосом, также считается слишком слабым и легко взламываемым.

В интервью ABC News адвокат из Миннесоты Дэниел Свенсон рассказал о своём ужасающем опыте, когда его пылесос внезапно ворвался в гостиную и громко закричал перед женой и детьми. Голос из пылесоса был очень похож на голос подростка, что вызвало панику у всей семьи.

Другая жертва в Лос-Анджелесе рассказала, что 24 мая за ее собакой гнался пылесос. В тот же день аналогичный инцидент произошел с адвокатом из Миннесоты.

В официальном заявлении производитель Ecovacs подтвердил факт кибератак, но подчеркнул, что его системы не были напрямую скомпрометированы. Компания заявила, что хакеры воспользовались возможностью повторного использования паролей пользователями для получения несанкционированного доступа. Соответственно, если пароль используется на нескольких платформах, хакеры могут использовать его для проникновения в другие системы, включая систему Ecovacs.

«Ecovacs всегда уделяла первостепенное внимание безопасности продукции и данных, а также защите конфиденциальности потребителей», — заявила компания. «Мы гарантируем клиентам, что наши существующие продукты обеспечивают высокий уровень безопасности в повседневной жизни, и потребители могут с уверенностью использовать продукцию Ecovacs».

Недавнее исследование, представленное на крупном ежегодном мероприятии для интересующихся информационной безопасностью, также известном как Def Con, выявило серьёзный риск нарушения конфиденциальности пользователей при использовании пылесосов. Исследователи продемонстрировали возможность использования уязвимостей безопасности для превращения этого устройства в инструмент наблюдения, отслеживающий всё, что происходит в доме.

Компания Ecovacs планирует значительно повысить безопасность серии X2, выпустив обновление программного обеспечения в ноябре. Однако пользователям также следует принять меры по защите своих устройств, создав надёжные уникальные пароли и обеспечив надёжную защиту своих сетей Wi-Fi.

Между тем, опрос PCMag 2020 года поднял вопрос о конфиденциальности при использовании смарт-устройств: выяснилось, что около 68% респондентов считают, что эти устройства собирают персональные данные без согласия пользователя и передают эту информацию производителю.