Критични уязвимости в прахосмукачките-роботи Ecovacs позволяват на хакерите да ги използват за шпиониране на техните собственици.
Откритието беше представено на хакерската конференция DEF CON 32 от изследователите Денис Гиес и Брейлин Людке. То подчертава сериозни пропуски в сигурността на популярните модели Deebot на Ecovacs.
Уязвимостите са свързани с Bluetooth и системата за удостоверяване на ПИН. Хакерите могат да се свържат дистанционно с прахосмукачките-роботи от разстояние около 130 метра. След като го направят, те лесно заобиколят слабите защити с ПИН и получават пълен контрол над устройствата.
Това включва активиране на вградените камери и микрофони без знанието на собственика, което превръща прахосмукачките в инструменти за наблюдение. Нападателите могат да деактивират предупредителните звуци на камерата, като манипулират звуковите файлове, съхранявани в устройствата.
Уязвимостите засягат множество модели на Ecovacs, включително, но не само:
- Серията Deebot 900;
- Deebot X1/X2;
- Deebot N8/T8 и N9/T9;
- Роботи за косене на трева Goat G1.
За да се предпазите:
- деактивирайте интернет връзката на своите устройства, когато не ги използват;
- прилагайте редовно актуализациите на фърмуера, веднага след като станат достъпни.
Производителите на свързани устройства, от своя страна, трябва да дадат приоритет на криптирането, сигурните протоколи за удостоверяване и редовните оценки на уязвимостите.