Владельцы роботов-пылесосов Ecovacs в городах США сообщили о взломе. Хакеры получили доступ к камерам и управлению, нецензурно ругались через динамик и гонялись за животными.
Все пылесосы пострадавших владельцев — Ecovacs Deebot X2 китайского производства, которые стоят около $900. Компания подтвердила наличие уязвимости в некоторых ее продуктах.
Хакерская атака продолжалась несколько дней в некоторых городах США. Некоторые пользователи рассказали, что их работы звучали как прерванные радиосигналы, а приложение Ecovacs свидетельствовало, что злоумышленник получил доступ к живой трансляции камеры и функции дистанционного управления. Несмотря на сброс пароля и перезагрузку робота, нестабильное поведение вскоре началось снова.
Владельцы были шокированы, когда узнали, что робота можно использовать, чтобы молча шпионить за ними в течение дней. Хакерам удалось отключить звук предупреждения, который должен воспроизводиться во время использования камеры.
Исследователи безопасности ранее сообщали Ecovacs о значительных недостатках защиты ее продукции. Воздействие на подключение Bluetooth давало полный доступ к модели X2 на расстоянии более 100 м. Защитный PIN-код дистанционного управления также был уязвим для взлома.
Ecovacs сообщила, что не нашла никаких доказательств того, что учетные записи владельцев были взломаны, и никаких признаков какого-либо нарушения систем Ecovacs. Компания выпустила патч уязвимости PIN-кода, но по свидетельствам этого недостаточно.
В конце мая 2024 года Ecovacs обнаружила ненормальный ввод учетных данных, когда несколько попыток входа поступали с одного IP-адреса, и это событие было немедленно заблокировано. Компания планирует усилить безопасность серии X2 выпуском беспроводного обновления в ноябре. Ecovacs отмечает, что пользователи также должны внедрять шаги для повышения безопасности в интернете — надежные и уникальные пароли, усиление безопасности Wi-Fi.