Эксперты в области информационной безопасности Деннис Гис и Брелинн выявили и подробно описали несколько уязвимостей, присутствующих в продукции компании Ecovacs, включая пылесосы и газонокосилки.
Опытные хакеры могут без особых усилий взломать эти устройства и превратить их в шпионские приборы, которые будут следить за пользователями. При этом владельцы ничего не заподозрят, так как такие функции могут выглядеть как штатные.
Система безопасности роботов-пылесосов оказалась слабо защищенной, что позволяет злоумышленникам осуществлять взлом через Bluetooth на расстоянии до 150 метров. Хакеры могут отправлять команде устройства выйти в интернет и подключиться к специальному серверу для контроля и управления. После этого преступники получают полный доступ ко всем системам пылесоса, при этом владелец остается в неведении.
Взлом "умных" пылесосов и аналогичных устройств может быть использован для сбора конфиденциальной информации о пользователях, а также для наблюдения за обстановкой в помещениях. В этом случае используются встроенные камера и микрофон, а также карты помещений и учетные данные, хранящиеся в памяти устройства. Кроме того, через уже скомпрометированные гаджеты можно проводить кибератаки на соседние объекты, в первую очередь на производственные мощности компании Ecovacs.
С развитием этого скандала также начали появляться другие серьезные проблемы. В частности, организация хранения учетных записей в облаке производителя оставляет желать лучшего. Удаленные учетные записи, как сообщается, продолжают сохраняться в системе, что предоставляет злоумышленникам возможность управлять бывшими в употреблении устройствами от имени других пользователей.