Z korzystaniem ze sprzętu smart home związane jest dość poważne niebezpieczeństwo. Dotyczy ono oczywiście jego zabezpieczeń, po złamaniu których cyberprzestępcy mogą uzyskać dostęp do wielu pilnie strzeżonych tajemnic zhakowanego domostwa. Niestety, producentom urządzeń zdarza się ignorować zagrożenia, co pokazuje przykład firmy Ecovacs i popularnego robota sprzątającego Deebot X2. Sprawę nagłośnili Australijczycy.
Wysoka cena nowoczesności
Roboty sprzątające czyszczą mieszkania autonomicznie i z miesiąca na miesiąc coraz dokładniej. Jest to zasługa całej palety montowanych na nich czujników. Niewielu użytkowników zaprząta sobie głowę tym, że brak odpowiednich zabezpieczeń może sprawić, że czujniki te zostaną wykorzystane przeciwko właścicielom urządzeń. Australijczycy z ABC News AU postanowili udowodnić to na przykładzie flagowego modelu Deebot X2, sprzedawanego przez chińskiego giganta Ecovacs, który z łatwością został zhakowany.
Dennis Giese to badacz bezpieczeństwa, który od lat zajmuje się robotami sprzątającymi. W minionym roku odkrył on podatność, pozwalającą włamywać się do sprzętu Ecovacs – robotów sprzątających oraz autonomicznych kosiarek – przy pomocy smartfona. To z jego pomocy skorzystali dziennikarze. Badacz wgrał na smartfona stosowne pliki, a zadaniem dziennikarzy było połączenie się z robotem.
Ecovacs Deebot X2 zhakowany. Producent się nie przejmuje?
Dziennikarze do współpracy zaprosili jednego z właścicieli robotów, Seana Kelly’ego. Robota umieszczono na czwartym piętrze budynku w Brisbane, w którym pracował jeden z uczestników testu. Dziennikarz usadowił się z laptopem na murku na zewnątrz, po czym bez większego problemu połączył się przez Bluetooth z urządzeniem. Za sprawą wgranego oprogramowania z miejsca uzyskał dostęp do podglądu z kamery robota Ecovacs Deebot X2 w czasie rzeczywistym.
Producenci tego rodzaju sprzętu wykorzystują kamery jako czujniki zbliżeniowe, ale również umożliwiają wideorozmowy za ich pośrednictwem. Zwyczajowo po aktywacji kamery odtwarzany jest komunikat o nagrywaniu, ze względów bezpieczeństwa. Tym razem nie został uruchomiony, bo dziennikarz nie łączył się z robotem przez oficjalną aplikację.
Dziennikarz był w stanie odtworzyć dowolny plik audio poprzez głośniki Ecovacs Deebot X2. Równolegle dostęp do robota uzyskał Giese… z Niemiec, z drugiego końca świata. Przerażające? Nie dla producenta.
Ecovacs wie o luce od grudnia 2023 roku. Kontakt ze strony Giese zupełnie zignorowano, a po nagłośnieniu przez niego sprawy firma wydałą tylko komunikat, w którym zbagatelizowała problem. Stwierdzono, że zhakowanie robota wymaga „specjalistycznych umiejętności”. Trudno mówić tu o umiejętnościach, skoro wystarczy kupić paczkę oprogramowania od odpowiedniego hakera.
Pierwsze aktualizacje już są
Pomimo pierwotnego luźnego podejscia do odkrycia Giese’a, producent zaktualizował kilka urządzeń w taki sposób, że metoda przestała działać. Ecovacs Deebot X2, podobnie jak kilka innych urządzeń, nadal jest podatny na atak.
Źródło: ABC.net.eu