אחת הפונקציות הכי שימושיות של מכשירי בית חכם היא היכולת לבצע צ'ק-אין בהם מרחוק כשאתה לא בבית. אבל גישה מרחוק עלולה ליצור פגיעות אבטחה משמעותית, כפי שהוכח על ידי שפע של פריצות אחרונות של שואב רובוט פופולרי.
במהלך שבוע במאי, מדווחת ABC News Australia, לפחות שלושה שואבי אבק מסוג Ecovacs Deebot X2 נפרצו עם דיווחים על רובוטים שנפגעו במינסוטה, טקסס וקליפורניה. בכל אחד מהמקרים, האקרים ניצלו את הרמקול המשולב, השלטים והמצלמה כדי לגרום לשובבות.
אחד הקורבנות, עורך הדין של מינסוטה דניאל סוונסון, צפה בתמימות בטלוויזיה כשהוואקום שלו קם לחיים, לפי הדיווח. "זה נשמע כמו אות רדיו שבור או משהו," הוא הסביר. "יכולת לשמוע קטעים של אולי קול."
לאחר הכניסה לאפליקציה, סוונסון הבחין שאדם זר משתמש בעדכון המצלמה החי ובתכונת השלט הרחוק. הוא שינה את הסיסמה ואתחל את הרובוט, אבל זה לא פתר את הבעיה לאורך זמן. הרובוט החל לזוז שוב, עם קול שצועק השמצות גזעיות מהרמקול מול המשפחה שנאספה על הספה.
סוונסון משער שזה היה נער שמתמחה במכשירים מרחוק. "אולי הם פשוט קפצו ממכשיר למכשיר והתעסקו עם משפחות."
כך או כך, הוא כיבה את הרובוט והעביר אותו למוסך – נבהל מהאפשרויות העומדות בפני שחקנים גרועים, אם ההאקרים לא הודיעו ברעש על נוכחותם, כשהרובוט גר בעבר באותה קומה כמו חדר השינה הראשי.
"הילדים הצעירים ביותר שלנו מתקלחים שם," הוא אמר. "פשוט חשבתי שזה תופס את הילדים שלי או אפילו אותי, אתה יודע, לא לבוש."
באותו יום שסוונסון העביר את רובוט ה-Ecovacs שלו למוסך, ABC מדווחת שגם Deebot X2 אחר התנהג בצורה מציקה – במקרה הזה, רדף אחרי כלב בבית בלוס אנג'לס בזמן שהאקרים צעקו הערות פוגעניות ברמקולים המובנים. ואז חמישה ימים לאחר מכן, רובוט אחר של Ecovacs באל פאסו החל להשמיע השמצות גזעיות כלפי הבעלים עד שהוא נותק מהחשמל.
ABC אומרת ש"לא ברור" כמה מכשירי Ecovacs נפרצו בסך הכל. האתר התנסה בעבר בפריצת בלוטות' לרובוט של החברה, תוך השתלטות מוצלחת על מכשיר סמוך, אך בהתחשב בפער הגיאוגרפי הרחב בין ההתקפות המדווחות, נראה כי מדובר בפגיעות שונה.
בעיה ידועה אחת, שנחשפה בכנס פריצה בשנת 2023, הייתה שה-PIN בן ארבע הספרות המגן על השלט הרחוק והווידאו נבדק רק על ידי האפליקציה, ולא הרובוט עצמו או השרת.
בהצהרה ל-ABC News (PDF), Ecovacs הצהיר שהבעיה הספציפית הזו "נפתרה" ושעדכון קושחה נוסף של OTA יגיע "בשבוע השני של נובמבר 2024" כדי "לשפר עוד יותר את האבטחה".
החברה הוסיפה כי אמנם "אין ראיות המצביעות על כך ששמות משתמש וסיסמאות כלשהן הושגו על ידי צדדים שלישיים לא מורשים כתוצאה מכל הפרה של המערכות של Ecovacs", אבל היא הבחינה ב"נסיונות כניסה משמעותית יותר מהממוצע היומי. סכום, במקדם של 90:1". מכיוון שכולם הגיעו מאותו מכשיר ומיקום "יוצא דופן", כתובת ה-IP המצורפת "נחסמה מיד".
"Ecovacs תמיד נתנה עדיפות לאבטחת מוצרים ונתונים, כמו גם הגנה על פרטיות הצרכן", מסכמת החברה. "אנו מבטיחים ללקוחות שהמוצרים הקיימים שלנו מציעים רמה גבוהה של אבטחה בחיי היומיום, ושצרכנים יכולים להשתמש בביטחון במוצרי Ecovacs."
