Хакеры заставили роботы-пылесосы Ecovacs ругаться и гоняться за домашними животными

СМИ стало известно, что в мае текущего года в разных городах США произошла серия атак на роботы-пылесосы Ecovacs Deebot X2. Хакеры использовали уязвимости, чтобы удаленно управлять пылесосами, получать доступ к их камерам и встроенным динамикам, оскорблять владельцев устройств и преследовать домашних животных.

По информации ABC News Australia, одним из пострадавших был юрист из Миннесоты Дэниел Свенсон (Daniel Swenson). Он рассказал журналистам, что в мае 2024 года смотрел телевизор с семьей, когда робот-пылесос вдруг стал издавать странные звуки, похожие на сломанное радио.

Войдя в приложение, Свенсон обнаружил, что устройство удаленно контролирует посторонний человек, наблюдая за происходящим через камеру пылесоса. Попытка сброса пароля и перезагрузки устройства не помогла: через некоторое время пылесос снова активировался, но на этот из динамика раздался человеческий голос, который стал выкрикивать расистские оскорбления в адрес Свенсона и его 13-летнего сына. Пострадавший отмечает, что атакующий, похоже, был подростком, который просто переключался с устройства на устройство, чтобы поиздеваться над людьми.

В итоге Свенсон был вынужден отключить робот-пылесос и убрать его подальше. Дело в том, что ранее пылесос работал на одном этаже с хозяйской спальней. «Наши младшие дети принимают там душ, — объясняет Свенсон. — Я просто подумал, что он мог застать моих детей или даже меня, когда мы неодеты». По его словам, ситуация могла быть гораздо хуже, если бы хакеры решили тихо следить за его семьей, не афишируя свое присутствие.

Другие случаи атак на пылесосы Ecovacs произошли в Лос-Анджелесе и Эль-Пасо через несколько дней. Так, в Лос-Анджелесе робот-пылесос гонялся за собакой, и хакер при этом выкрикивал оскорбления через динамик. Устройство в Эль-Пасо тоже использовалось для трансляции расистских заявлений хакера, пока владелец не отключил пылесос.

Журналисты отмечают, что пока неясно, сколько всего устройств Ecovacs пострадали от подобных атак.

Стоит отметить, что в прошлом году ИБ-исследователи выявили уязвимость в роботах-пылесосах Ecovacs, которая позволяла обойти ввод PIN-кода в модели Deebot X2 и получить полный контроль над устройством, включая доступ к камере и функциям удаленного управления. Специалисты рассказывали об этой проблеме на конференции Chaos Communication Congress.

Также ABC отмечает, что недавно в устройствах Ecovacs был найден другой баг, который тоже позволял захватить контроль над устройством. Однако эта уязвимость связана с Bluetooth и работает лишь на расстоянии около 100 метров от робота-пылесоса, то есть, вряд ли имеет отношение к описанным выше атакам.

Представители Ecovacs заверили СМИ, что проблема, из-за которой владельцы пылесосов серии X2 столкнулись со взломами, уже устранена. Еще одно обновление прошивки, для «дальнейшего повышения безопасности», должно выйти в середине ноября 2024 года.

В компании подчеркнули, что «нет никаких свидетельств того, что имена пользователей и пароли были получены неавторизованными третьими лицами в результате компрометации систем Ecovacs». При этом во время расследования было обнаружено большое количество подозрительных попыток входа в систему, заметно превышающее обычные значения (примерно в 90 раз). Поскольку все эти попытки исходили с одного и того же «необычного» устройства и места, в компании «немедленно заблокировали» этот IP-адрес.

Однако теперь пострадавшие пользователи критикуют компанию за медленную реакцию. К примеру, Свенсон рассказал журналистам, что поначалу ему вообще не поверили в поддержке Ecovacs, когда он попытался уведомить компанию о том, что кто-то взломал его пылесос и выкрикивает оскорбления. В компании спрашивали, нет ли у него видеозаписи произошедшего, несмотря на то, что в это время другие пользователи уже обращались в поддержку с похожими жалобами.

По словам Свенсона, затем служба поддержки предположила, что хакеры могли получить доступ к его устройству при помощи атаки типа credential stuffing. Этим термином обычно обозначают ситуации, когда учетные данные похищаются с одних сайтов и сервисов, а затем используются в других. Потом его уведомили о том, что проведенное расследование показало, что «учетная запись Ecovacs и ее пароль были получены неуполномоченным лицом». Однако даже этого было бы недостаточно для полной компрометации робота-пылесоса, который также должен быть защищен вышеупомянутым PIN-кодом.

Стоит отметить, что специалисты, исходно обнаружившие уязвимость PIN-кодов и рассказавшие о ней на CCC, сообщили журналистам ABC, что в Ecovacs до сих пор не устранили эту проблему полностью.