Pomagači ili špijuni? Da li oni samo čiste, ili prate svaki vaš korak?

Zamislite da ustanete u toku noći da popijete čašu vode, i da iz mraka neko počne da viče na vas. To bi u najmanju ruku bilo neprijatno, ali baš bi se to moglo dogoditi vlasnicima robot usisivača, kojima hakeri mogu da narede da se od kućnih pomoćnika pretvore u nešto zastrašujuće. I to nije sve - hakeri bi takođe mogli daljinski kontrolisati robota i pristupiti njegovoj kameri.

U avgustu 2024. godine, pojavio se prvi izveštaj o ranjivosti u Ecovacs robot usisivačima i kosilicama kada su istraživači bezbednosti Denis Giza, poznat po hakovanju Xiaomi robot usisivača, i Brejlin Ludtki održali predavanje na DEF CON 32 o reverznom inženjeringu i hakovanju Ecovacs robota.

Oni su opisali nekoliko metoda za hakovanje robot usisivača Ecovacs i mobilne aplikacije koju vlasnici koriste da ih kontrolišu. Konkretno, otkrili su da haker može da pristupi video feedu sa ugrađene kamere i mikrofona robota.

Ovo je moguće iz dva razloga. Prvo, ako se aplikacija koristi na nesigurnoj mreži, napadači mogu presresti token za autentifikaciju i komunicirati sa robotom. Drugo, iako u teoriji PIN kod koji je postavio vlasnik uređaja štiti video feed, u praksi se on potvrđuje na strani aplikacije, tako da se može zaobići.

Istraživači su takođe uspeli da dobiju root pristup operativnom sistemu robota. Otkrili su da je preko Bluetootha moguće poslati malver robotu, koji se kod nekih modela Ecovacs robota uključuje nakon zakazanog ponovnog pokretanja, dok je kod drugih stalno uključen. U teoriji, šifrovanje bi trebalo da štiti od ovoga, ali Ecovacs koristi statički ključ koji je isti za sve uređaje.

Uljez bi to mogao iskoristiti da dobije root privilegije u operativnom sistemu bilo kog ranjivog Ecovacs robota i hakuje ga na udaljenosti do 50 metara, što je upravo ono što su i istraživači uradili. Što se tiče robotskih kosilica, ovi modeli se mogu hakovati na udaljenosti od više od 100 metara, pošto imaju moćnije Bluetooth mogućnosti.

Ako se tome doda i to da su današnji robot usisivači pravi računari, može se lako zamisliti kako napadači jednog zaraženog robota koriste kao sredstvo za hakovanje drugih robota u blizini. U teoriji, hakeri mogu čak da stvore mrežnog crva da automatski zaraze robote bilo gde u svetu.

Istraživači su obavestili Ecovacs o ranjivosti koje su pronašli, ali nisu dobili odgovor. Kompanija je pokušala da reši neke od bagova, ali prema rečima istraživača, sa malim uspehom i ignorišući najozbiljnije ranjivosti.

Kako se zaštititi od hakovanja robot usisivačem?

Stručnjaci kompanije Kaspersky kažu da ne možete. Nažalost, ne postoji univerzalni metod zaštite od hakovanja robot usisivača koji pokriva sve mogućnosti. Za neke modele, u teoriji, postoji opcija da sami hakujete, dobijete root pristup i prekinete vezu između mašine sa oblakom proizvođača. Ali ovo je složena i dugotrajna procedura koju prosečan vlasnik verovatno ne bi ni pokušao da izvede.

Ozbiljan problem sa IoT uređajima je to što mnogi proizvođači, nažalost, još uvek ne obraćaju dovoljno pažnje na bezbednost, i često čak odbijaju da odgovore istraživačima koji prijave ovakve probleme.

Da biste smanjili rizik, istražite bezbednosne prakse proizvođača pre kupovine. Neki rade prilično dobar posao kada je reč o bezbednosti njihovih proizvoda. Uvek instalirajte ažuriranja firmwarea: nove verzije obično uklanjaju bar neke od ranjivosti koje hakeri mogu da iskoriste da bi stekli kontrolu nad vašim robotom.

Imajte na umu da robot povezan sa kućnom Wi-Fi mrežom, ako je hakovan, može postati platforma za napad na druge uređaje povezane na istu mrežu - pametne telefone, računare, pametne televizore itd.

Izvor: Informacija/Kurir/DarkoMulic