Позавчера мы рассказывали об уязвимости в роботах-пылесосах Ecovacs, которую обнаружил исследователь безопасности Деннис Гис. Он сообщил о своей находке производителю, но реакции не последовало. И очень зря, потому что произошёл ряд неприятных инцидентов, связанных с пылесосами Ecovacs.
Злоумышленники взяли под контроль роботы-пылесосы и выкрикивают расистские оскорбления
В течение нескольких дней были взломаны роботы-пылесосы Ecovacs Deebot X2 в нескольких городах США, злоумышленник управлял их движением и выкрикивал непристойности через встроенные динамики.
Вид с камеры робота Ecovacs
Адвокат из Миннесоты Дэниел Свенсон смотрел телевизор, когда его робот повёл се6бя странно. «Это было похоже на прерывистый радиосигнал или что‑то в этом роде», — рассказывал он. — «Можно было услышать обрывки речи или чего‑то подобного».
Через приложение Ecovacs он увидел, что посторонний человек получил доступ к прямой трансляции с камеры и функции дистанционного управления.
Свенсон решил, что случился сбой, сбросил пароль, перезагрузил робота и снова сел на диван рядом с женой и 13-летним сыном.
Дэниел Свенсон в своём доме
Почти сразу робот снова начал двигаться. На этот раз у Свенсона не возникло сомнений в том, что именно раздавалось из динамика. Голос (похоже, это был подросток) выкрикивал расистские оскорбления, громко и отчетливо, прямо перед семьёй Свенсона.
«Ё****е н***ы» (непереводимая игра слов, прим. переводчика), — кричал голос снова и снова.
Теперь уже Свенсон выключил пылесос окончательно.
Могло быть и хуже
Пылесос работал на том же этаже, где расположена ванная, и Свенсон переживал, что камера могла бы зафиксировать членов его семьи неодетыми. Поэтому, несмотря на оскорбления, Свенсон был рад, что злоумышленники так громко заявили о своём присутствии, а не стали втихаря наблюдать за семьёй.
Ecovacs X2 имеет функцию дистанционного управления, которая позволяет получить доступ к камере устройства
Они могли бы подглядывать через камеру, слушать разговоры через микрофон, а он бы об этом не догадывался.
Пылесосы взломаны в нескольких городах
Несколько человек (все из США) сообщили о подобных инцидентах взлома с разницей в несколько дней.
В одном из случаев робот погнался за собакой владельцев, пять дней спустя ночью робот Ecovacs в Эль‑Пасо начал выкрикивать расистские оскорбления в адрес своего владельца, пока тот не отключил его от сети.
Неясно, сколько всего устройств компании было взломано. Учитывая распределенный характер атак, маловероятно, что была использована уязвимость, связанная с Bluetooth, о которой сообщал Деннис Гис.
Оказывается, система PIN‑кода, защищающая видеопоток робота, а также функция дистанционного управления, также оказались уязвимыми, а предупреждающий звук, который должен воспроизводиться при наблюдении с камеры, можно было отключить дистанционно.
Эти проблемы безопасности могут объяснить, как злоумышленники взяли под контроль несколько роботов в разных местах и как они могли незаметно следить за своими жертвами.
Ecovacs подтверждает кибератаку на устройство
Через несколько дней после инцидентов с роботом‑пылесосом Ecovacs Дэниел Свенсон подал жалобу в компанию. После переговоров со службой поддержки ему позвонил старший сотрудник Ecovacs из США и попросил видеозапись произошедшего.
Было похоже, что сотрудник не поверил Свенсону, хотя несколько других владельцев сообщали о подобных нападениях примерно в то же время. После звонка ему сообщили, что было проведено «расследование в целях безопасности». А также сказали, что техническая группа компании определила IP‑адрес злоумышленника и отключила его, чтобы предотвратить дальнейший доступ.
Позже электронном письме они сообщили, что «существует высокая вероятность того, что ваша учётная запись Ecovacs подверглась кибератаке с использованием „подстановки учётных данных”.
Это происходит, когда кто‑то использует одно и то же имя пользователя и пароль на нескольких сайтах, а затем эта комбинация похищается в ходе отдельной кибератаки. А доказательств того, что учётные записи были взломаны посредством «какого‑либо нарушения систем Ecovacs», в компании не обнаружили.
Причиной может быть известная уязвимость системы безопасности
Даже если Свенсон использовал то же имя пользователя и пароль на других сайтах и если эти учётные данные были слиты в сеть, этого не должно было быть достаточно, чтобы получить доступ к видеопотоку или для удалённого управления роботом.
Предполагается, что эти функции защищены четырёхзначным PIN‑кодом. Однако ещё в декабре 2023 года на хакерской конференции двое исследователей в области кибербезопасности сообщили, что эту защиту можно обойти.
Деннис Гис и Брелинн Людтке на хакерской конференции в декабре 2023 года
PIN-код проверялся только приложением, а не сервером или роботом. Это означает, что любой, кто обладает техническими знаниями, может полностью обойти проверку.
Они предупредили Ecovacs о проблеме, прежде чем предать ее огласке. Представитель Ecovacs сообщил, что этот недостаток уже устранен, однако Гис сообщил, что действий, предпринятых компанией, недостаточно, чтобы закрыть брешь в системе безопасности.
Представитель компании также сообщил, что компания «отправила оперативное электронное письмо» клиентам с просьбой сменить пароли после инцидента. Ecovacs заявила, что в ноябре выпустит обновление системы безопасности для владельцев серии X2.
Источник: habr.com
