Digitália

2024.10.15. 06:00

Nálunk is árusított robotporszívók támadtak gazdáikra

Nem először van baj a kínai gyártású Ecovacs Deebot X2 porszívóval: már nem csak adatokat gyűjt titokban, hanem átkozódik és megkergeti a háziállatokat.

MW

Képünk illusztráció

Forrás: Shutterstock

Fotó: Willrow Hood

Első pillantásra bulvárkacsának tűnhetne az ügy, de megírta a The Verge, az ABC News, az Android Authority, a Vice, a Yahoo – és sorolhatnánk még a lapokat, valamint rendőrségi jegyzőkönyvek hitelesítik az esetet és kivételesen még a gyártó is reagált. Mi történt?

Néhány nap leforgása alatt több amerikai városban feltörték a robotporszívókat, a támadó pedig távolról, láthatatlanul irányította őket, és a készülékek trágárságokat kiabáltak a fedélzeti hangszóróikon keresztül.

Az említett robotok mindegyike kínai gyártású Ecovacs Deebot X2 volt.

Daniel Swenson, minnesotai ügyvéd éppen tévét nézett, amikor robotja meghibásodott. Furcsa hangot adott ki a robotporszívó, majd a mobiljában az Ecovacs alkalmazáson keresztül látta az ügyvéd, hogy egy idegen hozzáfér a porszívó kamerájának élő közvetítéséhez és a távirányító funkciójához.

Lakásbelső kutyával egy feltört Ecovacs készülékről
Forrás: Dennis Giese és Braelynn

Swenson higgadtan visszaállította a készülék jelszavát, újraindította a robotot, és visszaült a kanapéra felesége és 13 éves fia mellé tévét nézni.

De az szinte azonnal újra mozgásba lendült. Ezúttal egyértelműen lehetett érteni, hogy a robot „n”-nel kezdődő trágár kifejezéseket kiabál. Másodszor is kikapcsolták.

Lehetett volna rosszabb is, mondja Swenson, mert ezen az emeleten van a fürdőszobájuk, ahol a gyerekeik zuhanyoznak és az okosporszívó csendben mozogva akár élőben közvetíthetett volna képet és hangot róluk a kamerájával. Így talán megúszták a kiabálással.

Öt nappal később egy másik eszköz El Pasóban kezdett trágárságokat szórni a tulajdonosaira. Nem tudni, hogy a cég összesen hány készüléket hackelték meg.

Mivel az újabb Ecovacs robotokat legalább egy kamerával és mikrofonnal szerelték fel, ha a hackerek átveszik az irányítást felettük, a porszívókból kémek lesznek.

Egyes modelleken elméletileg van egy hangfájl, amelyet ötpercenként lejátszanak, jelezve, hogy kamerájuk be van kapcsolva, de hackerek könnyen törölhetik a fájlt, és titokban tevékenykedhetnek. Erre a gyártót fél éve már figyelmeztették.

A legrémesebb a Bluetooth-csatlakozó hibája volt, amely lehetővé tette a teljes hozzáférést az Ecovacs X2-höz több mint 100 méterről. Hibásnak bizonyult a robot videójelét védő PIN-kód rendszer – és a távirányító funkció – is. Ezért vehették át az irányítást a támadók több robot felett különböző helyeken, és tudták csendben megfigyelni áldozataikat.

Az Ecovacs közleményben tudatta, hogy „hitelesítő adatok kitöltésével kapcsolatos eseményt azonosított”, és blokkolta az IP-címet, amelyről az származott. A cég szerint „nem talált bizonyítékot” arra, hogy a felhasználóneveket és jelszavakat a támadó gyűjtötte volna.

A felhőhöz csatlakoztatott intelligens otthoni eszközök évek óta produkálnak ilyen balhékat. Néha hackelések eredményeként, mint a Philips, a Summer és az iBaby bébicsőszök esetében,  mások pedig egyszerűen a hitelesítő adatok feltörése nyomán, miként a Nest biztonsági kameránál.

Néha meghibásodik egy szoftver, és olyankor például  sajátos élményként egy másik tulajdonos kamerájának képét mutatja a készülék. Ehhez hasonló problémák elkerülhetetlennek tűnhetnek, hiszen oly sok okosotthoni eszköz igényel folyamatos internetkapcsolatot a működéshez, és számos cég akad, amelyik nem kínál megoldásokat a biztonsági rések bejelentésére.

A hackerek ismereteink szerint nem jutottak el magyar otthonokig. Nálunk egyébként ezek a robotporszívók felszereltségtől függően 4-600 ezer forintba kerülnek.

A következő készülékek érintettek: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Gocsat G1 Spybot Airbot Z1, Ecovacs Airbot AVA és Ecovacs Airbot ANDY

Egy új kutatás megállapította, hogy rosszindulatú hackerek átvehetik az irányítást porszívók mellett az Ecovacs által gyártott fűnyírórobotok felett is, hogy kémkedjenek tulajdonosaik után az eszközök kamerájával és mikrofonjaival.

Dennis Giese és Braelynn biztonsági kutatók szombaton felszólaltak a Def Con hackerkonferenciáján, s részletezték az Ecovacs robotokkal kapcsolatos kutatásaikat. A fő probléma szerintük az, hogy egy biztonsági rés lehetővé teszi, hogy

bárki, aki telefont használ, Bluetoothon keresztül csatlakozzon egy Ecovacs robothoz, és akár 130 méterről is átvegye az irányítást.

És miután a hackerek átveszik az irányítást az eszköz felett, távolról is csatlakozhatnak hozzá, mert maguk a robotok Wi-Fi-n keresztül csatlakoznak az internethez. Utána kiolvashatják a Wi-Fi hitelesítő adatait, láthatják az összes szoba térképét, hozzáférhetnek kamerákhoz, mikrofonokhoz, bármihez.

Ha még ez nem lenne elég: a robotokon tárolt adatok a felhasználói fiókok törlése után is az Ecovacs felhőszerverein maradnak; a hitelesítési token is a felhőben marad, lehetővé téve, hogy valaki a fiók törlése után is hozzáférjen egy robotporszívóhoz, és potenciálisan kémkedhessen azon személy után, aki esetleg használtan vásárolják meg a robotot.

Hírlevél feliratkozás
Ne maradjon le a beol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!