Исследователи обнаружили серьезные уязвимости в системе безопасности некоторых роботов-пылесосов и газонокосилок. Это позволяет злоумышленникам полностью контролировать устройства, оснащенные камерами, и фактически превращать их в шпионов.
Специалисты по безопасности Деннис Гисе и Брейлинн выявили целый ряд уязвимостей в роботах-пылесосах бренда Ecovacs. Злоумышленники могут удаленно управлять устройством на расстоянии до 137 метров через Bluetooth, а затем получить полный контроль над ним через интернет. Об этих находках исследователи планируют рассказать на конференции хакеров Def Con.
По словам Гисе, проблема заключается в уязвимости, которая позволяет злоумышленникам легко подключиться к роботу-пылесосу через Bluetooth. После этого хакеры могут получить полный контроль над устройством, включая доступ к камерам, микрофонам, сохраненным паролям Wi-Fi, картам помещений и другим данным. Более того, зараженные роботы могут распространять атаку на другие устройства Ecovacs вблизи.
От этой угрозы пострадало более 10 моделей пылесосов и газонокосилок, включая Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8 и Ecovacs Deebot X1. Кроме того, исследователи обнаружили, что пользовательские данные и токены авторизации хранятся в облачном хранилище компании даже после удаления аккаунта. Это означает, что злоумышленник может получить доступ к подержанному роботу и шпионить за новым владельцем.
Гисе и Брейлинн пытались сообщить о проблемах компании Ecovacs, но не получили ответа. На момент публикации статьи уязвимости оставались неисправленными.
Это еще один тревожный сигнал о том, что даже бытовые устройства могут стать инструментом для кибершпионажа.
