Дали започна побуната на роботите предвидена во филмовите на научната фантастика како Терминатор, Јас Робот или Бетлстар Галактика? Можеби да, ама можеби и не :) Како и да е, сопствениците на роботски правосмукалки од еден кинески производител пријавиле дека нивните правосмукалки биле хакирани и дека непознати луѓе ги навредувале преку звучникот на уредот. Некои корисници исто така пријавиле “луди” правосмукалки кои ги бркаат нивните кучиња низ куќата.
Хакерите успеале да го оневозможат предупредувачкиот звук што треба да се слуша кога се користи камерата.
Сите хакирани правосмукалки се од типот Ecovacs Deebot X2 од кинеската компанија Ecovacs Robotics и чинат околу 900 долари. Компанијата потврди дека има ранливост што влијае на некои од нејзините производи.
Според извештајот на австралиската телевизија ABC News, хакерската кампања траела неколку дена во неколку американски градови. Некои корисници изјавиле за ABC дека нивните роботи звучат како расипани радија, а апликацијата Ecovacs им откри на некои од жртвите дека напаѓачите имале пристап до функционалноста на камерата и до далечинскиот управувач.
И покрај ресетирањето на лозинката и рестартирањето на роботот, ваквото однесување на уредот се повторувало. Сопствениците биле шокирани кога дознале дека поради безбедносна ранливост, правосмукалките може да се користат за шпионирање, а напаѓачот може да го види секој нивен потег и да слушне сè што зборуваат.
Ранливостите се откриени уште минатата година од истражувачот Денис Гизе, кој со години бара бубачки во роботските правосмукалки. Како одговорен истражувач, тој го информирал Ecovacs за ранливостите што ги открил. Сепак, иако компанијата била информирана за проблемот уште во декември 2023 година, тој сè уште не е целосно решен.
Безбедносните недостатоци влијаат на Bluetooth конекторот, овозможувајќи целосен пристап до X2 од далечина од преку 100 метри. Друга грешка е PIN-кодот што ја штити функцијата за видео и далечинскиот управувач на роботот.
Гизе открива дека Ecovacs не одговорил на неговото првично предупредување во декември 2023 година, а откако објави некои детали на хакерска конференција во август оваа година, тие првично го минимизираа проблемот, тврдејќи дека „се потребни специјализирани алатки за хакерство и физички пристап до уредот“.
Сепак, тестот на ABC News покажа дека физичкиот пристап баш и не е потребен и дека хакирањето може да се направи користејќи само евтин паметен телефон.
Ecovacs изјавиле за ABC дека не пронашле докази дека некоја сметка била хакирана и дека нема знаци за какво било хакирање на системите на Ecovacs. Сепак, истражувачите за кибер безбедност покажаа како може да се заобиколи четирицифрениот ПИН што го штити уредот, бидејќи тој се проверува само од апликацијата, а не од сервер или од бот.
Конечно, по сите перипетии и негирања, Ecovacs објави закрпа за оваа грешка. Сепак, извори на ABC велат дека тоа е недоволно за заштита.
Компанијата планира дополнително да ја подобри безбедноста на серијата X2 со објавување на ажурирање на фирмверот OTA во ноември. Па ако имате ваков модел, држете го понастрана, барем дотогаш :)