В США за несколько дней взломали несколько роботов-пылесосов, причём злоумышленник управлял ими физически и выкрикивал непристойности через встроенные динамики. Все пострадавшие роботы были китайского производства Ecovacs.
Адвокат из Миннесоты Дэниел Свенсон смотрел телевизор, когда его робот начал странно себя вести.
«Звук был похож на прерывистый радиосигнал или что-то в этом роде», – рассказал он ABC. «Я слышал обрывки голосов».
Через приложение Ecovacs он увидел, что кто-то посторонний получил доступ к его камере и функции дистанционного управления. Посчитав это каким-то сбоем, мистер Свенсон сбросил пароль, перезагрузил робота и снова сел на диван рядом с женой и 13-летним сыном.
Почти сразу же робот снова начал двигаться. На этот раз не было никаких сомнений в том, что доносится из динамика. Голос громко и отчётливо выкрикивал расистские оскорбления прямо перед сыном Свенсона.
«Fucking niggers!», – кричал голос, снова и снова.
«У меня сложилось впечатление, что это был ребёнок, возможно, подросток», – говорит Свенсон. «Может быть, они просто подключались с устройства на устройство, подшучивая над семьями».
Но всё могло быть и хуже, так как Свенсон держит свой робот-пылесос на том же этаже, где находится главная ванная комната семьи.
«Наши младшие дети принимают там душ. Я подумал, что он может застукать моих детей или даже меня, когда я не одет».
Несмотря на оскорбления, Свенсон был рад, что хакеры так громко заявили о своём присутствии. По его словам, было бы гораздо хуже, если бы они решили молча наблюдать за его семьей в доме. Они могли бы подглядывать через камеру его робота и подслушивать всё через микрофон. И он не имел бы ни малейшего представления об этом.
Свенсон отнёс устройство в гараж и больше не включал его.
Взлом роботов в разных городах
Несколько человек, все из которых находятся в США, сообщили о похожих случаях взлома в течение нескольких дней друг за другом.
В тот же день, когда было взломано устройство Свенсона, робот Deebot X2 вышел из себя и погнался за собакой своего хозяина по дому в Лос-Анджелесе. Устройством управляли дистанционно, а через динамики звучали оскорбительные комментарии.
Пять дней спустя было обнаружено ещё одно устройство. Поздно ночью робот Ecovacs в Эль-Пасо начал изрыгать расистские оскорбления в адрес своего владельца, пока тот не отключил его от сети.
Неизвестно, сколько устройств компании было взломано в общей сложности.
За полгода до этих инцидентов исследователи безопасности пытались уведомить Ecovacs о существенных проблемах в безопасности её роботов-пылесосов и приложения, которое ими управляет.
Самым серьёзным был дефект в Bluetooth, который позволял получить полный доступ к Ecovacs X2 с расстояния более 100 метров. Однако учитывая распределённый характер атак, эта уязвимость вряд ли могла быть использована в данном случае.
Известно также, что система PIN-кодов, защищающая видеоканал робота и функцию дистанционного управления, работала неправильно, а предупреждающий звук, который должен воспроизводиться, когда подключаются к камере пылесоса, можно было отключить на расстоянии.
Эти проблемы с безопасностью могут объяснить, как злоумышленники получили контроль над несколькими роботами в разных местах и как могли бесшумно наблюдать за своими жертвами после проникновения.
Ecovacs подтвердила факт кибератаки
Через несколько дней после инцидента с роботом-пылесосом Ecovacs Дэниел Свенсон обратился в компанию с жалобой. После переписки с сотрудниками службы поддержки ему позвонил старший сотрудник Ecovacs из США.
«Он, наверное, три или четыре раза сказал, что я должен снять видео того, что произошло. Каждый раз я отвечал ему: "Да, это было бы здорово, но я был больше сосредоточен на том, что взломанный робот находился посреди моей гостиной, наблюдая за нами и, возможно, даже записывая нас"».
По словам Свенсона, сотрудник, казалось, не поверил его словам, несмотря на то, что многие другие владельцы сообщили о подобных атаках примерно в то же время.
После этого звонка ему сообщили, что было проведено «расследование на предмет безопасности».
«Ваша учётная запись Ecovacs и её пароль были получены неавторизованным лицом», – сообщил ему по электронной почте представитель компании.
Он также рассказал, что техническая команда компании определила IP-адрес злоумышленника и заблокировала его, чтобы предотвратить последующий доступ.
В новом письме Свенсону сообщили, что «велика вероятность того, что ваша учётная запись Ecovacs подверглась кибератаке с "подстановкой учётных данных"». Проще говоря, злоумышленник мог получить данные пользователя с другого сайта, где использовались те же логин и пароль. При этом не было найдено никаких доказательств того, что учётные записи были взломаны в результате какого-либо нарушения в системах Ecovacs.
В этом может быть виновата известная ошибка в системе безопасности
Даже если бы Свенсон использовал те же имя пользователя и пароль на других сайтах, и если бы эти данные просочились в сеть, этого было бы недостаточно для доступа к камере или удалённого управления роботом. Предполагается, что эти функции защищены четырёхзначным PIN-кодом.
Однако на одной из хакерских конференций ещё в декабре 2023 года пара исследователей в области кибербезопасности показала, что систему можно обойти.
ПИН-код проверялся только приложением, а не сервером или cамим роботом. Это означает, что любой человек, обладающий техническими знаниями, мог полностью обойти проверку.
Они предупредили Ecovacs о проблеме, прежде чем обнародовать эксплойт.
Представитель Ecovacs заявил, что данный недостаток устранён, однако исследователи отметили, что исправления компании недостаточно, чтобы закрыть дыру в системе безопасности. Представитель компании также сообщил, что после инцидента компания отправила письмо, в котором просила клиентов сменить пароли. Ecovacs отметила, что в ближайшее время будет выпущена новая версия ПО.
Сам Свенсон рассказал, что ему не сообщали о проблеме с PIN-кодом ни в одной из его переписок с Ecovacs. Полное заявление компании от 11 октября можно прочитать здесь [PDF].
Ещё по теме: