Робот-пилососи Ecovacs зламали хакери, щоб шпигувати за власниками

10 січня 2025 1 хвилина Автор: Newsman

Дослідники з кібербезпеки виявили критичні вразливості в популярних роботах-пилососах Ecovacs (Вразливість зачіпає кілька популярних моделей Ecovacs, включаючи серію Deebot 900, Deebot X1/X2, Deebot N8/T8, Goat G1 і Spybot Airbot Z1 ), що дозволяють хакерам отримати контроль над пристроями, використовуючи їх для шпигування та переслідування користувачів.

На конференції DEF CON 32 дослідники Денис Гізе та Брейлін Людтке представили результати дослідження, які вказують на серйозні проблеми з безпекою в роботах-пилососах Deebot компанії Ecovacs. Основні вразливості стосуються з’єднання Bluetooth та системи PIN-аутентифікації. Хакер може підключитися до пристрою з відстані до 130 метрів і обійти слабкий PIN-код, щоб отримати повний контроль над роботом-пилососом.

Отримавши доступ, зловмисник може активувати вбудовану камеру і мікрофон, перетворивши пристрій на інструмент спостереження. Дослідники продемонстрували можливість відключити аудіосигнал камери, маніпулюючи аудіофайлами, що зберігаються на пристрої, що дозволяє хакерам вести спостереження без попередження власника. Зламані роботи-пилососи можуть передавати відео- та аудіопотоки через хмарні сервіси, такі як AWS Kinesis, що дозволяє здійснювати віддалене спостереження за користувачами.

Роботи-пилососи зараз є повноцінними Linux-комп’ютерами з камерами, мікрофонами, LiDAR-датчиками та системами навігації зі штучним інтелектом. Підключення до мережі робить такі пристрої вразливими до хакерських атак та кібератак. Дослідники попереджають, що в майбутньому хакери можуть розробити спеціальних мережевих черв’яків, які автоматично заражатимуть такі пристрої.

Інші статті по темі
Новини
Читати далі
Darktrace придбає Cado Security
Darktrace оголосила про плани придбати Cado Security, щоб розширити свої можливості хмарної криміналістики. Злиття дозволить інтегрувати технології Cado з платформою безпеки ActiveAI від Darktrace для поліпшення розслідування інцидентів і посилення захисту від загроз в хмарних середовищах.
56
Новини
Читати далі
Єврокомісію оштрафували за порушення власних законів
Загальний суд Європи оштрафував Європейську комісію на 400 євро за порушення правил GDPR, що стосуються незаконної передачі даних до США. Цей штраф є першим випадком, коли ЄС притягнув себе до відповідальності за порушення власних законів про захист даних.
56
Новини
Читати далі
PowerSchool заплатила викуп хакерам
PowerSchool, постачальник хмарного програмного забезпечення для шкіл, став жертвою хакерської атаки і заплатив викуп, щоб уникнути витоку даних. Інцидент вплинув на конфіденційні дані мільйонів учнів, включаючи імена, адреси та номери соціального страхування.
41
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.