Káromkodni kezdtek a feltört robotporszívók
Több amerikai városból is jelentették a felhasználók, hogy a jelek szerint pár hónapja feltörték a robotporszívójukat. A támadók nem csak az eszközök irányítása felett vették át a hatalmat, de válogatott káromkodásokat bömböltettek a fedélzeti hangszórókon keresztül, amivel érthető mód a frászt hozták az emberekre. Az érintett porszívók mind kínai gyártásúak voltak, egészen pontosan az Ecovacs Deebot X2 modellt törhették fel egy kritikus biztonsági sérülékenységet kihasználva.
Egy érintett férfi beszámolója szerint a porszívóhoz tartozó mobilapplikáción keresztül szerzett róla bizonyosságot, hogy illetéktelen fél fért hozzá a robot kamerának élő képéhez, illetve a távirányító funkcióhoz. Miután új jelszót állított be, káromkodásokat hallott az eszközön keresztül, volt akinél pedig a háziállatokat vették üldözőbe az eszközök.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Egyelőre nem tudni pontosan, hogy összesen hány készüléket törtek fel a támadók. Biztonsági kutatók már több mint fél éve felhívták a figyelmet arra, hogy az Ecovacs robotporszívók és a hozzájuk tartozó mobilapp súlyos biztonsági sérülékenységeket tartalmaznak. Az egyik a Bluetooth-csatlakozást érintette, amit kihasználva a rosszakarók teljes hozzáférést kaphattak az Ecovacs X2-höz több mint 100 méter távolságból. Tekintettel a támadások elosztott természetére, ebben az esetben nem valószínű, hogy ezt a biztonsági rést használták volna ki.
A robotporszívók kameraképét PIN-kódos rendszer védi, így a feltételezések szerint nem lett volna elég a támadások kivitelezéséhez pusztán az, ha az ügyfelek fiókjainak kiszivárgott hitelesítőadatait használták volna fel az elkövetők. 2023 végén azonban egy hackerkonferencián két kutató felfedte, hogy ez a rendszer is megkerülhető, mivel a PIN-kód hitelességét csak az alkalmazás ellenőrzi a mobilokon, nem pedig szerverre továbbítódik, így elméletben ez is kijátszható.
Az Ecovacs szóvivője szerint ezt a hibát már kijavították, de a jelek szerint nem fordítottak elég figyelmet mégsem az ügyfelek tájékoztatására illetve a már eladott eszközök frissítéseire.
Via The Verge.