Специалист по информационной безопасности Деннис Гизе сообщил об обнаружении нестандартной активности роботов-пылесосов и газонокосилок от бренда Ecovacs, которые в процессе эксплуатации могут использоваться как инструменты для шпионажа за владельцами.
Результаты исследования, представленные на недавно прошедшей конференции Def Con, наглядно продемонстрировали, что киберпреступники могут получить контроль над этими устройствами через протокол Bluetooth, а также использовать встроенные камеры и микрофоны для слежки за людьми. Обнаруженные уязвимости безопасности позволяют злоумышленникам компрометировать устройства Ecovacs всего за несколько секунд.
Эксперты по кибербезопасности во время общения с журналистами издания TechCrunch рассказали, что главная уязвимость роботов-пылесосов Ecovacs заключается в том, что подключиться к устройству злоумышленники могут с расстояния до 130 метров по Bluetooth. После этого киберпреступники получают возможность доступа к устройству через интернет, так как роботы-пылесосы Ecovacs подключаются к домашней Wi-Fi сети. Сразу после компрометации устройства хакер может управлять роботом, получать доступ к карте его перемещений, а также запускать камеру и микрофон.
Эксперты отмечают, что практически на всех новых моделях роботов-пылесосов Ecovacs установлены как минимум одна камера и микрофон, при этом на гаджетах нет никаких индикаторов активности.
Специалисты также обнаружили другие проблемы с продукцией бренда Ecovacs. В частности, пользовательские данные сохраняются на облачных серверах компании даже в том случае, если человек удалил свою учётную запись, что позволяет злоумышленникам сохранять доступ к конкретному ранее скомпрометированному устройству. Кроме того, эксперты нашли слабозащищённый пин-код на газонокосилках Ecovacs, который хранится в открытом виде. Это позволяет киберпреступникам легко найти и использовать его в различных неправомерных целях.
Деннис Гизе сообщил, что он попытался связаться с компанией Ecovacs и сообщить об обнаруженных уязвимостях, но какой-либо обратной связи от бренда он не получил.
Ещё по теме: