اكتشف اثنان من الباحثين في مجال الأمن أن المكانس الكهربائية وماكينات قص العشب من إنتاج شركة Ecovacs يمكن اختراقها عبر اتصال بلوتوث. ويمكن استخدام هذه الأجهزة، التي تحتوي على كاميرات وميكروفونات، لأغراض “التجسس” إذا تعرضت للاختراق. ومن المثير للقلق أن شركة Ecovacs لم تعترف بهذه المشكلة.
الباحثون الأمنيون المعنيون هم:دينيس جيزي وبريلين—تم تحديده عديد الثغرات الأمنية في منتجات Ecovacs والخدمات السحابية. يعد خلل الاستيلاء على البلوتوث هو الأبرز على الإطلاق. يمكن للمتسللين اختطاف المكانس الكهربائية وماكينات قص العشب الآلية من Ecovacs عن طريق إرسال حمولة ضارة عبر البلوتوث من هاتف ذكي. بمجرد اختراق روبوت Ecovacs، يمكن للمتسللين الوصول إلى كاميراته وميكروفوناته. قد يقومون أيضًا بقيادة الروبوت مثل سيارة RC، وتنزيل بيانات رسم خرائط الغرف، والتلاعب بنظام الملفات الخاص به، أو استخدامه لاختراق أجهزة Ecovacs القريبة.
من المهم أن يكون المهاجم ضمن نطاق البلوتوث (أقل من 450 قدمًا) لتنفيذ هذا الاختراق. تقوم مكنسة Ecovacs بتعطيل اتصال البلوتوث بانتظام طوال اليوم، لذا يحتاج المهاجم إلى التحلي بالصبر إلى حد ما، بعض تصدر روبوتات Ecovacs صوت تحذير متكرر عند تشغيل الكاميرا. ومع ذلك، يمكن للمهاجمين إعداد الوصول عن بعد عبر شبكة Wi-Fi بعد إكمال عملية اختراق البلوتوث. ولا يحتاجون سوى إلى التواجد في مكان قريب جسديًا لبضع دقائق. ولأن المتسلل يمكنه التنقيب في نظام الملفات الخاص بالروبوت المخترق، فقد يحذف الملفات المرتبطة بضوضاء تحذير “تشغيل الكاميرا”.
بالإضافة إلى ذلك، فإن اختطاف البلوتوث هو مجرد أحد العيوب العديدة التي اكتشفها جيزي وبريلين. فقد وجد الثنائي أن بيانات المستخدم المستندة إلى السحابة ورموز المصادقة لا يتم التخلص منها عندما يقوم المستخدم بحذف حساب Ecovacs الخاص به. إذا تم اختراق خوادم Ecovacs، سابق قد تتعرض بيانات العملاء الخاصة للخطر. وإذا قمت ببيع مكنسة كهربائية Ecovacs لشخص ما، فيمكنك استخدام رمز المصادقة القديم الخاص بك للتجسس عبر المكنسة الكهربائية.
حاول جيزي وبريلين لفت انتباه شركة إيكوفاكس إلى هذه النتائج. ولم تشكر الشركة الباحثين أو تستشيرهم. في الواقع، قوبل الباحثون بالصمت التام. لم تعترف شركة إيكوفاكس علنًا بالعيوب الأمنية التي تعاني منها، ولم ترد على الاستفسارات من العملاء. تك كرانش (الوسيلة الأولى لتغطية هذه القصة) أو منشورات أخرى.
من المؤكد أن الثغرات الأمنية التي اكتشفها جيزي وبريلين قد تؤثر فقط على جزء صغير من مستخدمي Ecovacs. والجزء الأكثر إثارة للقلق في هذه القصة هو الاستجابة البطيئة لشركة Ecovacs وموقفها المنعزل. إن المكانس الكهربائية الروبوتية المزودة بكاميرات مدمجة هي بطبيعتها هدف رائع للمتسللين. منتجات Ecovacs يجب تقدم شركة Ecovacs، باعتبارها شركة متخصصة في المنازل الذكية، أعلى مستويات الأمان. يجب كن منفتحًا على الكشف عن نقاط الضعف.
لاحظ أن Giese وBraelynn اختبرا 11 جهاز Ecovacs فقط: Ecovacs Deebot 900 Series وEcovacs Deebot N8/T8 وEcovacs Deebot N9/T9 وEcovacs Deebot N10/T10 وEcovacs Deebot X1 وEcovacs Deebot T20 وEcovacs Deebot X2 وEcovacs Goat G1 وEcovacs Spybot Airbot Z1 وEcovacs Airbot AVA وEcovacs Airbot ANDY. قد لا تتأثر منتجات Ecovacs الأخرى بأي من الثغرات المذكورة أعلاه.
لقد تواصلنا مع Ecovacs وننتظر الرد. سيتم تحديث هذه المقالة عندما نتعرف على معلومات جديدة حول نقاط الضعف في Ecovacs.
المصدر: دينيس جيزي وبريلين عبر تك كرانش