Robotické vysávače značky Ecovacs naprieč Spojenými štátmi začali robiť poriadnu neplechu. Server ABC News uvádza, že majitelia z amerických miest v Kalifornii, Minnesote a Texase zažili vzburu robotického pomocníka na upratovanie domácnosti, keď ich ovládanie zrejme prevzali hackeri. Išlo vždy o model Deebot X2 vyrábaný čínskou spoločnosťou. Tento model robotického vysávača mimochodom zaobstaráte aj na Slovensku.
Nepomohol ani reset
ABC News opisuje prípad právnika Daniela Swensona z Minnesoty, ktorý si doma pri sledovaní televízie všimol podivné správanie vysávača. Ozývali sa z neho divné zvuky chrčania. Swenson mal podozrenie, že mu niekto cudzí pristupuje k externým senzorom vysávača, ako je napríklad zabudovaná kamera, a preto rýchlo resetoval vysávač a zmenil heslo k používateľskému účtu. Ale ani to nepomohlo.
Vysávač sa okamžite začal sám pohybovať po byte a z reproduktora sa ozývali hrubé nadávky. Majiteľ preto vysávač odpojil a odniesol do garáže. V rozhovore so spravodajským serverom potom dodal, že je vlastne rád, že na seba hacker takto hlasno upozornil, jeho rodinu by inak mohol bez povšimnutia sledovať.
V tú istú dobu zdivočel ďalší Deebot X2 v Los Angeles. Jeho majiteľ opisuje, že vysávač preháňal jeho psa po byte a tiež pri tom nadával. O päť dní neskôr ďalší takýto vysávač v texaskom El Pase začal hlasno nadávať svojmu majiteľovi. Spravodajský server uvádza, že v tejto chvíli nie je možné jasne určiť, koľko zariadení spoločnosti Ecovacs bolo hackerským útokom napadnutých.
Presná slabina ešte nie je istá
Už pred pol rokom však tento čínsky výrobca údajne dostal správu od výskumníkov softvérovej bezpečnosti, ktorí našli slabinu v aplikácii, ktorá roboty riadi. Podľa nich bolo najslabším článkom pripojenie cez Bluetooth, ktoré dovoľovalo ľuďom zmocniť sa ovládania vysávača na diaľku. To je však obmedzené niekoľkometrovou vzdialenosťou od zariadenia, takže je nepravdepodobné, že by práve táto slabina bola na vine pri útoku na zariadenie naprieč niekoľkými americkými štátmi.
Pravdepodobnejšia je slabina v zabezpečení užívateľských účtov, ktorá umožňuje rýchlo prelomiť užívateľský PIN a zmocniť sa ovládania vysávača. Na diaľku je možné tiež vypnúť aj tón upozornenia, že je aktívna kamera vysávača.
Daniel Swenson sa so sťažnosťou obrátil na zastúpenie firmy Ecovacs v Spojených štátoch. Na linke technickej podpory mu však zástupcovia firmy nechceli jeho zážitok veriť a žiadali ho o videodokumentáciu situácie. Nakoniec sa Swenson dočkal len prísľubu, že situáciu preverí, a následne vysvetlenie, že „mu zrejme niekto ukradol prihlasovacie údaje“.
Firma nakoniec vydala vyhlásenie, že bezpečnostná trhlina bola už opravená a že ďalšia bezpečnostná záplata pre systém vysávačov dorazí v novembri. Zástupcovia ABC News však oslovili odborníkov softvérovej bezpečnosti, ktorí označujú opravu ako nedostatočnú a podľa ktorých stále hrozí riziko napadnutia zariadenia.