Robot usisivači: korisni pomoćnik ili špijun u kući?

Tekstovi o zaštiti, 13.01.2025, 01:00 AM

Zamislite da ustanete u toku noći da popijete čašu vode, i da iz mraka neko počne da viče na vas. To bi u najmanju ruku bilo neprijatno, ali baš bi se to moglo dogoditi vlasnicima robot usisivača, kojima hakeri mogu da narede da se od kućnih pomoćnika pretvore u nešto zastrašujuće. I to nije sve - hakeri bi takođe mogli daljinski kontrolisati robota i pristupiti njegovoj kameri, upozoravaju stručnjaci kompanije Kaspersky.

Savremeni robot usisivač je pravi računar na točkovima, koji obično radi na Linuxu, sa moćnim višejezgarnim ARM procesorom, solidnim RAM-om, velikim fleš diskom, Wi-Fi i Bluetoothom. Robot usisivač ima senzore svuda: infracrveni, lidar, senzore pokreta, često po nekoliko kamera, a neki modeli imaju i mikrofone za glasovnu kontrolu.

Svi moderni robot usisivači su stalno na mreži i povezani sa infrastrukturom oblaka proizvođača. U većini slučajeva, oni dosta komuniciraju sa oblakom, šaljući masu podataka prikupljenih tokom rada.

U avgustu 2024. godine, pojavio se prvi izveštaj o ranjivosti u Ecovacs robot usisivačima i kosilicama kada su istraživači bezbednosti Denis Giza, poznat po hakovanju Xiaomi robot usisivača, i Brejlin Ludtki održali predavanje na DEF CON 32 o reverznom inženjeringu i hakovanju Ecovacs robota.

Oni su opisali nekoliko metoda za hakovanje robot usisivača Ecovacs i mobilne aplikacije koju vlasnici koriste da ih kontrolišu. Konkretno, otkrili su da haker može da pristupi video feedu sa ugrađene kamere i mikrofona robota.

Ovo je moguće iz dva razloga. Prvo, ako se aplikacija koristi na nesigurnoj mreži, napadači mogu presresti token za autentifikaciju i komunicirati sa robotom. Drugo, iako u teoriji PIN kod koji je postavio vlasnik uređaja štiti video feed, u praksi se on potvrđuje na strani aplikacije, tako da se može zaobići.

Istraživači su takođe uspeli da dobiju root pristup operativnom sistemu robota. Otkrili su da je preko Bluetootha moguće poslati malver robotu, koji se kod nekih modela Ecovacs robota uključuje nakon zakazanog ponovnog pokretanja, dok je kod drugih stalno uključen. U teoriji, šifrovanje bi trebalo da štiti od ovoga, ali Ecovacs koristi statički ključ koji je isti za sve uređaje.

Uljez bi to mogao iskoristiti da dobije root privilegije u operativnom sistemu bilo kog ranjivog Ecovacs robota i hakuje ga na udaljenosti do 50 metara, što je upravo ono što su i istraživači uradili. Što se tiče robotskih kosilica, ovi modeli se mogu hakovati na udaljenosti od više od 100 metara, pošto imaju moćnije Bluetooth mogućnosti.

Ako se tome doda i to da su današnji robot usisivači pravi računari, može se lako zamisliti kako napadači jednog zaraženog robota koriste kao sredstvo za hakovanje drugih robota u blizini. U teoriji, hakeri mogu čak da stvore mrežnog crva da automatski zaraze robote bilo gde u svetu.

Istraživači su obavestili Ecovacs o ranjivosti koje su pronašli, ali nisu dobili odgovor. Kompanija je pokušala da reši neke od bagova, ali prema rečima istraživača, sa malim uspehom i ignorišući najozbiljnije ranjivosti.

Ono što su na DEF CON-u prezentovali istraživači izazvalo je veliko interesovanje u hakerskoj zajednici, toliko da je neko izgleda napravio korak dalje i primenio to na Ecovacs robot usisivače u stvarnom svetu. Prema nedavnim izveštajima, hakeri su hakovali robot usisivače u nekoliko američkih gradova.

U jednom incidentu u Minesoti, Ecovacs DEEBOT X2 počeo je sam da se kreće i proizvodi čudne zvukove. Uznemiren, njegov vlasnik je ušao u aplikaciju Ecovacs i video da neko pristupa video feedu i funkciji daljinskog upravljanja. Mislio je da je u pitanju softverska greška, promenio je lozinku, ponovo pokrenuo robota i seo na kauč da gleda televiziju sa ženom i detetom. Ali robot se skoro odmah vratio u život, ovog puta emitujući niz rasističkih uvreda iz svojih zvučnika. Ne znajući šta da radi, vlasnik je isključio robota, odneo ga u garažu i tamo ostavio. Iako je ovo iskustvo bilo veoma neprijatno, on je zahvalan što su hakeri svoje prisustvo učinili tako očiglednim. Mnogo bi gore, kaže on, bilo da su jednostavno tajno nadgledali njegovu porodicu preko robota, a da se nisu otkrili.

U sličnom slučaju, u Kaliforniji, Ecovacs DEEBOT X2 jurio je psa po kući i vređao ukućane. Treći slučaj je prijavljen u Teksasu, gde je robot usisivač takođe uznemiravao svoje vlasnike.

Tačan broj napada na Ecovacs robot usisivače nije poznat. Jedan od razloga za ovo mogao bi biti i taj što vlasnici možda nisu svesni toga da hakeri možda krišom posmatraju njihov svakodnevni život preko ugrađene kamere.

Kako se zaštititi od hakovanja robot usisivačem?

Stručnjaci kompanije Kaspersky kažu da ne možete. Nažalost, ne postoji univerzalni metod zaštite od hakovanja robot usisivača koji pokriva sve mogućnosti. Za neke modele, u teoriji, postoji opcija da sami hakujete, dobijete root pristup i prekinete vezu između mašine sa oblakom proizvođača. Ali ovo je složena i dugotrajna procedura koju prosečan vlasnik verovatno ne bi ni pokušao da izvede.

Ozbiljan problem sa IoT uređajima je to što mnogi proizvođači, nažalost, još uvek ne obraćaju dovoljno pažnje na bezbednost, i često čak odbijaju da odgovore istraživačima koji prijave ovakve probleme.

Da biste smanjili rizik, istražite bezbednosne prakse proizvođača pre kupovine. Neki rade prilično dobar posao kada je reč o bezbednosti njihovih proizvoda. Uvek instalirajte ažuriranja firmwarea: nove verzije obično uklanjaju bar neke od ranjivosti koje hakeri mogu da iskoriste da bi stekli kontrolu nad vašim robotom.

Imajte na umu da robot povezan sa kućnom Wi-Fi mrežom, ako je hakovan, može postati platforma za napad na druge uređaje povezane na istu mrežu - pametne telefone, računare, pametne televizore itd.

Foto: cottonbro studio