Kritične ranjivosti Ecovacs robotskih usisivača omogućavaju hakerima da iskoriste ove uređaje za nadzor i uznemiravanje.
Nalazi, koje su na hakerskoj konferenciji DEF CON 32 predstavili istraživači Dennis Giese i Braelynn Luedtke, ističu ozbiljne sigurnosne propuste u popularnim Ecovacs-ovim modelima Deebot i drugim IoT uređajima, podižući uzbunu o rizicima privatnosti u pametnim kućama.
Kako hakeri dobijaju pristup
Ranjivosti prvenstveno uključuju Bluetooth povezivanje i PIN autentifikacijske sisteme. Hakeri se mogu daljinski povezati sa robotom usisivačem putem Bluetooth-a sa udaljenosti do 450 stopa (oko 130 metara).
Kada se povežu, mogu zaobići slabu PIN zaštitu kako bi dobili potpunu kontrolu nad uređajima.
Ovo uključuje aktiviranje ugrađenih kamera i mikrofona bez znanja vlasnika, efektivno pretvarajući usisivače u alate za nadzor.
Osim toga, istraživači su pokazali da napadači mogu onemogućiti zvukove upozorenja kamere mijenjajući lokalizirane zvučne datoteke pohranjene na uređajima.
Ovo omogućava hakerima da špijuniraju korisnike bez pokretanja bilo kakvih upozorenja. Narušeni uređaji mogu prenositi video i audio sadržaje uživo putem usluga u oblaku kao što je AWS Kinesis, što hakerima omogućava praćenje korisnika s bilo kojeg mjesta u svijetu.

Nekoliko incidenata visokog profila već je naglasilo opasnosti ovih ranjivosti:
– U Minesoti je jedan advokat prijavio da je njegov usisivač Deebot X2 počeo da emituje rasne uvrede kroz zvučnike nakon što je hakovan. Napadač je takođe pristupio živom kanalu kamere usisivača, prisiljavajući porodicu da trajno isključi uređaj.
– U Los Anđelesu, hakovani usisivač je jurio psa kućnog ljubimca dok je izgovarao uvredljive reči. Slično, još jedan uređaj u El Pasu maltretirao je svog vlasnika sve dok se nije isključio.
– U Australiji je demonstracija ABC Newsa pokazala kako je reporter daljinski upao u usisivač Ecovacs iz parka prekoputa. Novinar je kontrolisao kameru i mikrofon uređaja kako bi špijunirao korisnika koji kuva kafu u kuhinji u svojoj kancelariji.
Izjava naglašava zabrinjavajuću stvarnost o sigurnosnim slabostima modernih robotskih usisivača. Kako su ovi uređaji evoluirali u sofisticirane računare zasnovane na Linux-u, postali su potencijalne mete za sajber kriminalce, predstavljajući novu granicu za širenje malicioznog softvera.
Današnji robotski usisivači su punopravni računari zasnovani na Linuxu sa naprednim funkcijama kao što su kamere, mikrofoni i mrežno povezivanje. Međusobno povezana priroda ovih uređaja stvara okruženje u kojem bi se jedan kompromitovani vakuum potencijalno mogao koristiti kao lansirna platforma za zarazu drugih uređaja u blizini.

Teoretski, hakeri bi mogli razviti mrežni crv dizajniran da cilja i zarazi robotske usisivače. Takav crv bi mogao iskoristiti uobičajene ranjivosti različitih modela ili brendova, omogućavajući mu da se brzo i autonomno širi.
Ovaj scenario je sličan prošlim velikim napadima zasnovanim na IoT-u, kao što je Mirai botnet 2016. godine, koji je koristio hiljade narušenih IoT uređaja za pokretanje razornih DDoS napada.
Pogođeni uređaji
Ranjivosti utiču na više modela Ecovacs, uključujući, ali ne ograničavajući se na:
- Deebot 900 serija
- Deebot X1/X2
- Deebot N8/T8 i N9/T9
- Goat G1 roboti za kosilicu
- Spybot Airbot Z1 i drugi Airbot modeli
Narušeni uređaji često imaju napredni hardver kao što su kamere, mikrofoni, LiDAR senzori i navigacioni sistemi sa vještačkom inteligencijom.
Ove komponente, namijenjene praktičnosti i funkcionalnosti, postale su alati za malicioznu eksploataciju.
Uprkos tome što je obavešten o ovim ranjivostima još u decembru 2023., Ecovacs je kritikovan zbog neadekvatnog odgovora.
Istraživači tvrde da mnogi problemi ostaju neriješeni uprkos nekim ažuriranjima firmvera. Kompanija je u početku umanjila rizike, pripisujući incidente napadima „punjavanja akreditiva“, a ne sistemskim nedostacima na njihovim uređajima.
Ecovacs je od tada obećao sigurnosne nadogradnje za pogođene modele, ali još nije implementirao sveobuhvatne popravke.
U međuvremenu, stručnjaci preporučuju da korisnici odmah preduzmu mjere opreza, kao što je onemogućavanje internetske veze na svojim uređajima kada se ne koriste i primjena ažuriranja firmvera čim postanu dostupna.
Otkrića o sigurnosnim nedostacima kompanije Ecovacs naglašavaju širu zabrinutost zbog ranjivosti IoT uređaja . Kako tehnologija pametnih kuća postaje sve zastupljenija, osiguravanje robusnih sigurnosnih mjera ključno je za zaštitu privatnosti korisnika.
Istraživači naglašavaju da proizvođači moraju dati prioritet enkripciji, sigurnim protokolima za autentifikaciju i redovnim procjenama ranjivosti.
Izvor: CyberSecurityNews