Ali vaš robotski sesalnik v resnici vohuni za vami?

Predstavljajte si, da vstanete sredi noči, da bi popili kozarec vode, in nekdo začne vpiti na vas iz teme. To bi bilo milo rečeno neprijetno, a prav to se lahko zgodi lastnikom robotskih sesalnikov, ki jim hekerji lahko ukazujejo, naj se iz domačih pomočnikov spremenijo v nekaj grozljivega. In to še ni vse – hekerji bi lahko robota tudi nadzorovali na daljavo in dostopali do njegove kamere.

Sodoben robotski sesalnik je pravi računalnik na kolesih, ki običajno deluje na Linuxu, z zmogljivim večjedrnim procesorjem ARM, solidnim RAM-om, velikim bliskovnim pogonom in povezvama Wi-Fi in Bluetooth. Robotski sesalnik ima vsepovsod senzorje: infrardeče, lidar, senzorje gibanja, pogosto več kamer, nekateri modeli pa imajo tudi mikrofone za glasovno upravljanje.

Vsi sodobni robotski sesalniki so nenehno del spleta in povezani v oblak proizvajalca. V večini primerov veliko komunicirajo z oblakom, saj mu pošiljajo množico podatkov, zbranih med delovanjem.

Avgusta 2024 se je pojavilo prvo poročilo o ranljivosti v robotskih sesalnikih in kosilnicah Ecovacs, ko sta varnostna raziskovalca Dennis Giza, znan po vdorih v robotske sesalnike Xiaomi, in Braylin Ludtki predavala na DEF CON 32 o povratnem inženiringu in hekanju robotov Ecovacs.

Opisala sta več metod za vdor v robotske sesalnike Ecovacs in v mobilne aplikacije, ki jih lastniki uporabljajo za nadzor. Natančneje, odkrili so, da lahko heker dostopa do video vira iz robotove vgrajene kamere in mikrofona.

To je mogoče iz dveh razlogov. Prvič, če se aplikacija uporablja v nevarnem omrežju, lahko napadalci prestrežejo žeton za preverjanje pristnosti in komunicirajo z botom. Drugič, čeprav v teoriji koda PIN, ki jo nastavi lastnik naprave, ščiti video vir, je v praksi preverjena na strani aplikacije, tako da jo je mogoče zaobiti.

Raziskovalci so prav tako lahko pridobili korenski dostop do operacijskega sistema robota. Odkrili so, da je možno zlonamerno programsko opremo robotu poslati prek Bluetootha, ki se pri nekaterih modelih robota Ecovacs vklopi po načrtovanem ponovnem zagonu, pri drugih pa je vedno vključen. Teoretično bi moralo šifriranje zaščititi pred tem, vendar Ecovacs uporablja statični ključ, ki je enak za vse naprave.

Vsiljivec bi to lahko uporabil za pridobitev root pravic v operacijskem sistemu katerega koli ranljivega robota Ecovacs in vanj vdrl z razdalje do 50 metrov, kar so raziskovalci tudi storili. Kar zadeva robotske kosilnice, je v te modele mogoče vdreti na razdalji več kot 100 metrov, saj imajo močnejše zmogljivosti Bluetooth povezave.

Če k temu dodamo dejstvo, da so današnji robotski sesalniki pravi računalniki, si lahko predstavljamo, da napadalci uporabljajo enega okuženega robota kot orodje za vdiranje v druge robote v bližini. Teoretično bi lahko hekerji celo ustvarili omrežnega črva, ki bi samodejno okužil robote kjer koli na svetu.

Raziskovalci so Ecovacs obvestili o ranljivosti, ki so jo našli, vendar niso prejeli nobenega odgovora. Podjetje je poskušalo odpraviti nekatere "buge", a po mnenju raziskovalcev z malo uspeha in ignoriranjem najresnejših ranljivosti.

Kako se zaščititi pred vdori v robotske sesalnike?

Strokovnjaki Kaspersky pravijo, da se ne morete. Na žalost ni univerzalne metode zaščite pred vdori v robotski sesalnik, ki bi pokrivala vse možnosti. Pri nekaterih modelih teoretično obstaja možnost, da vdrete sami, pridobite root dostop in odklopite stroj iz oblaka proizvajalca. A to je kompleksen in dolgotrajen postopek, ki se ga povprečen lastnik verjetno ne bi lotil.

Resna težava IoT naprav je v tem, da mnogi proizvajalci žal še vedno ne posvečajo dovolj pozornosti varnosti, pogosto pa tudi nočejo odgovoriti raziskovalcem, ki poročajo o tovrstnih težavah.

Vir: kurir.rs