Хакеры взяли под контроль множество пылесосов Ecovacs в США
Несколько владельцев пылесосов в США сообщили о взломе своих устройств. Злоумышленники воспользовались уязвимостями безопасности, чтобы получить доступ к камерам и пультам дистанционного управления, что привело к появлению раздражающих звуков и даже к преследованию домашних животных по всему дому.
Все затронутые устройства — пылесосы Ecovacs Deebot X2s, высокотехнологичный китайский продукт стоимостью около 900 долларов. Производитель Ecovacs признал наличие уязвимости.
По данным ABC News (Австралия), хакеры воспользовались уязвимостью системы безопасности, чтобы проникнуть в систему пылесоса, заставив его издавать шумы, похожие на заглушенные радиосигналы, и позволив злоумышленникам просматривать изображение в реальном времени с помощью камеры и получать доступ к функциям удаленного управления.
.jpg)
Несмотря на многократную смену пароля и перезапуск пылесоса, странное поведение пылесоса необъяснимо повторялось. Больше всего владельцев напугало то, что устройство, возможно, тайно следило за ними уже давно.
Специалисты по безопасности неоднократно предупреждали компанию Ecovacs о серьёзных уязвимостях в её системах. Наиболее заметной из них является уязвимость, связанная с подключением по Bluetooth, которая позволяет хакерам легко проникнуть в модель X2 с расстояния до 100 метров. Кроме того, PIN-код, защищающий видеотрансляцию и функции дистанционного управления этим пылесосом, также считается слишком слабым и легко взламываемым.
В интервью ABC News адвокат из Миннесоты Дэниел Свенсон рассказал об ужасающем случае, когда его пылесос внезапно ворвался в гостиную и закричал на глазах у жены и детей. Голос из пылесоса был очень похож на голос подростка, что вызвало панику у всей семьи.
Другая жертва в Лос-Анджелесе рассказала, что 24 мая за ее собакой гнался пылесос. В тот же день аналогичный инцидент произошел с адвокатом из Миннесоты.
В официальном заявлении производитель Ecovacs подтвердил факт кибератак, но подчеркнул, что его системы не были напрямую скомпрометированы. Компания заявила, что хакеры воспользовались возможностью повторного использования пользователями паролей для получения несанкционированного доступа. Соответственно, если пароль используется на нескольких платформах, хакеры могут использовать его для проникновения в другие системы, включая систему Ecovacs.
«Ecovacs всегда уделяла первостепенное внимание безопасности продукции и данных, а также защите конфиденциальности потребителей», — заявила компания. «Мы заверяем наших клиентов, что наши существующие продукты обеспечивают высокий уровень безопасности в повседневной жизни, и потребители могут с уверенностью использовать продукцию Ecovacs».
Новое исследование, представленное на конференции Def Con, крупном ежегодном мероприятии для тех, кто интересуется информационной безопасностью, выявило серьёзные риски для конфиденциальности, связанные с использованием пылесосов. Исследователи продемонстрировали возможность использования уязвимостей безопасности, чтобы превратить устройство в инструмент наблюдения, отслеживающий всё происходящее в доме.
Компания Ecovacs планирует значительно повысить безопасность серии X2, выпустив обновление программного обеспечения в ноябре. Однако пользователям также следует принять меры по защите своих устройств, создав надёжные уникальные пароли и обеспечив надёжную защиту своих сетей Wi-Fi.
Между тем, опрос PCMag 2020 года поднял вопрос о конфиденциальности при использовании смарт-устройств: выяснилось, что около 68% респондентов считают, что эти устройства собирают персональные данные без согласия пользователя и передают эту информацию производителю.