Умные устройства для дома по всему миру пользуются большим спросом, и в квартирах и домах появляется всё больше подключённых к интернету бытовых устройств. Это делает жизнь более комфортной, но, как и любое другое устройство с процессором, такие устройства можно взломать.

В рамках конференции по кибербезопасности Defcon специалисты показали, как злоумышленники могут получить доступ к умным пылесосам и газонокосилкам производства Ecovacs. Получив доступ к их микрофонам и камерам, злоумышленники могут заниматься шпионажем.

Рассмотрев несколько продуктов этого производителя, исследователи Деннис Гизе и Браелинн нашли ряд уязвимостей, позволяющих удалённо взломать устройства через Bluetooth и незаметно включить микрофоны и камеры. Главная проблема заключается в том, что любой обладатель смартфона может подключиться к этим устройствам на расстоянии до 130 м. Если же устройства подключены к интернету посредством Wi-Fi, дальность подключения значительно увеличивается.

В результате можно получить доступ к информации о сети Wi-Fi и сделанным картам помещения. Что ещё хуже, открывается доступ к микрофонам и камерам через операционную систему Linux.

Газонокосилки более уязвимы благодаря постоянному подключению по Bluetooth. Пылесосы активируются только при первом включении и при автоматическом перезапуске один раз в день на 20 минут.

При этом в устройствах нет аппаратного индикатора, который бы показывал, что камера и микрофон включены. Без него невозможно понять, что вы стали жертвой шпионажа. У некоторых моделей при включённой камере каждые 5 минут раздаётся звук, но злоумышленник может отключить его. Для этого звуковой файл можно удалить или заменить на пустой.

Данные на облачных серверах Ecovacs сохраняются даже после удаления аккаунта пользователя, включая аутентификационный токен. Если вы продадите робот-пылесос, через этот токен хакеры смогут следить за следующим владельцем.

Каждый раз, когда робот поднимается, нужно вводить пин-код. Однако он хранится в устройстве в открытом виде, и хакеры могут легко прочитать его.

Взломав одну модель Ecovacs, можно взломать и другие, находящиеся в пределах досягаемости.

Уязвимы следующие модели:

Представители компании пока никак не прокомментировали эту информацию. Это ещё раз напоминает о том, насколько небрежно многие производители устройств подобного рода относятся к информационной безопасности.