Roboty Ecovacs z lukami w zabezpieczeniach. Sprawa ma drugie dno?

W ostatnich dniach świat obiegła informacja z konferencji Def Con, że roboty firmy Ecovacs mają sporo luk w zabezpieczeniach, które z łatwością mogą wykorzystać hakerzy.

Jak informuje portal techcrunch.com we wpisie z 9 sierpnia, zbadaniem robotów zajęli się Dennis Giese i Braelynn, który twierdzą, że wykryli lukę, która pozwala zdalnie sterować robotami chińskiego producenta z dowolnego telefonu.

Kamerka na usługach hakerów

Większość dobrych modeli Ecovacs ma przednią kamerę wspomagającą omijanie przeszkód i dającą możliwość podglądu na żywo wraz z funkcją patrolu domowego. Hakerzy mogą wykorzystać ją do podglądania nas, a wiedzieć trzeba, że roboty tej firmy nie mają żadnego, zewnętrznego powiadomienia o pracy kamery – choćby czerwonej kropki.

Jedyne zabezpieczenie to wgrany w roboty komunikat głosowy o włączeniu kamery, który odpala się co 5 minut jej działania, ale ponoć żadnym problemem nie byłoby usunięcie pliku z tym nagraniem. Co ciekawe, dostęp do robotów Ecovacs najłatwiej można uzyskać przez Bluetooth i nie trzeba do tego zaawansowanej wiedzy rodem z filmów szpiegowskich.

Wystarczy być w zasięgu ok. 130 metrów od urządzenia, poprzez wysłanie paczki danych przez BT, łączymy się z dowolnym robotem Ecovacs, a następnie przejmujemy kontrolę nad jego połączeniem z domową siecią WiFi i Internetem. Takim sposobem hakerzy mogą odczytać dane uwierzytelniające WiFi, odczytać wszystkie zapisane mapy pomieszczeń, uzyskać dostęp do kamer i mikrofonów.

Ten problem mają nie tylko roboty sprzątające

Co ciekawe problem nie dotyczy tylko robotów sprzątających Ecovacs, ale też robotów koszących Goat G1, zrobotyzowanych oczyszczaczy powietrza Airbot Z1, Airbot Ava i Airbot Andy.

Wśród robotów sprzątających sprawdzone zostały następujące modele: Ecovacs Deebot serii 900, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2 – z tych wszystkich testowałem poprzedniego flagowca Deebot X1, którego prezentacje znajdziesz na naszym blogu.

Dennis Giese i Braelynn donoszą, że roboty koszące Ecovacs mają aktywny moduł BT cały czas, a roboty domowe tylko przez 20 minut po włączeniu i raz dziennie gdy się restartują, więc ich hakowanie jest dużo trudniejsze niż robotów koszących.

Kolejne problemy, jakie znaleziono to przechowywanie danych z naszych robotów na serwerach w chmurze, nawet po usunięciu konta użytkownika, co daje możliwość szpiegowania kolejnej osobny, która kupi robota z drugiej ręki.

Problem jest, reakcji nie ma

Badacze ponoć skontaktowali się z chińską firmą, ale nie otrzymali żadnej odpowiedzi, a luki w zabezpieczeniach nie zostały naprawione. Pewne jest jedno – jakby tak uczciwie sprawdzić stan zabezpieczeń najpopularniejszych marek robotów sprzątających, to okazałby się, że praktycznie wszystkie mają luki w zabezpieczeniach i są dziurawe, jak ser szwajcarski.

W przypadku smartfonów popularnych firm mniej więcej co miesiąc dostajemy łatki zabezpieczeń w ramach aktualizacji, a w robotach, po premierze wyjdzie kilka aktualizacji bardziej skupiających się na poprawie błędów, poprawie użyteczności interfejsu, czy dodających nowe funkcje, a zabezpieczeniami mało kto się przejmuje.

Ecovacs na celowniku. Sprawa ma drugie dno?

Z mojej perspektywy, zastanawiające jest to, że Dennis Giese i Braelynn zajęli się tylko jedną firmą, na dodatek chińską – Ecovacs jest bardzo popularny na rynku amerykańskim i stanowi poważną konkurencję dla iRobota, który traci rynek i nie potrafi dogonić funkcjonalnie najlepszych konkurentów.

USA jest w stanie wojny handlowej z Chinami, więc nie dziwi cała seria artykułów na przestrzeni ostatnich 2 lat, w których donosi się o możliwym szpiegowaniu robotów, czy smartfonów z państwa środka, lukach w zabezpieczeniach, czy możliwym wykorzystaniu radaru LiDAR w robotach do przejmowania sieci WiFi i nie tylko.

W takich sprawach nie ma przypadków i działań niecelowych, co jednak nie zmienia faktu, że używamy dziesiątek urządzeń z podłączeniem pod Internet, mających mikrofony i kamery, a dbałość większości producentów o nasze bezpieczeństwo i prywatność to mrzonka.

Tu pole do popisu mogą mieć unijni ustawodawcy tak lubujący się w regulowaniu dosłownie wszystkiego – na poziomie europejskim można stworzyć odpowiednie regulacje zmuszające producentów do zwiększenia poziomu bezpieczeństwa urządzeń IoT i karaniu tych podmiotów, które ewidentnie mają z nimi problemy.

A jeśli masz to wszystko gdzieś i szukasz dobrego robota w niskiej cenie, to właśnie na niemieckim Amazonie pojawił się poprzedni flagowiec w super niskiej cenie ok. 2300 zł – Ecovacs Deebot X1 Omni. Sprzedaje i wysyła Amazon, więc zakup pewny i ze świetnymi warunkami zwrotów, czy napraw gwarancyjnych.

Szukasz innego robota?

Jeśli szukasz robota sprzątającego, warto zerknąć na nasz TOP-10 najlepszych robotów sprzątających.