Incidents associés
Des propriétaires d'aspirateurs robots dans plusieurs villes américaines ont signalé que leurs appareils avaient été piratés. Des inconnus ont accédé aux flux vidéo en direct et aux fonctions de commande à distance, en hurlant des insultes dans les haut-parleurs intégrés. Certains robots ont fait des bêtises, pourchassant les chiens dans la maison, selon une enquête d'ABC.
Tous les modèles concernés étaient des Ecovacs Deebot X2 de fabrication chinoise, qui se vendent actuellement environ 900 dollars. L'entreprise a confirmé la vulnérabilité affectant certains de ses produits.
D'après le rapport d'ABC (https://www.abc.net.au/news/2024-10-11/robot-vacuum-yells-racial-slurs-at-family-after-being-hacked/104445408), la vague de piratage s'est étendue sur plusieurs jours dans plusieurs villes américaines. Certains utilisateurs ont déclaré à ABC que leurs robots �émettaient des sons semblables à des signaux radio brisés, et l'application Ecovacs a révélé qu'un attaquant accédait au flux de la caméra en direct et à la fonction de contrôle à distance.
Malgré la réinitialisation du mot de passe et le redémarrage du robot, le comportement erratique a rapidement recommencé. Les propriétaires ont été choqués d'apprendre que le robot pouvait être utilisé pour les espionner silencieusement pendant des jours.
Les chercheurs en sécurité avaient déjà signalé à Ecovacs d'importantes failles de sécurité. L'une d'elles affectait le connecteur Bluetooth, permettant un accès complet au modèle X2 à plus de 100 mètres de distance. Un autre système défectueux était le code PIN protégeant le flux vidéo du robot et la fonction de contrôle à distance.
Les pirates ont réussi à désactiver le son d'avertissement qui devrait être émis lorsque la caméra est utilisée.
Ecovacs a déclaré à ABC qu'elle n'avait trouvé aucune preuve que les comptes des propriétaires aient été piratés et aucun signe de violation des systèmes d'Ecovacs. Cependant, les chercheurs en cybersécurité ont déjà démontré comment le code PIN à quatre chiffres protégeant l'appareil pouvait être contourné, car il n'était vérifié que par l'application plutôt que par le serveur ou le robot.
Ecovacs a publié un correctif pour cette faille. Cependant, des sources d'ABC ont déclaré que cela était insuffisant.
Fin mai 2024, Ecovacs a identifié un événement de bourrage d'identifiants lorsque plusieurs tentatives de connexion provenaient de la même adresse IP, qui a été immédiatement bloquée.
La société prévoit d'améliorer encore la sécurité de la série X2 en publiant une mise à jour du micrologiciel en direct en novembre. Ecovacs a noté que les utilisateurs devraient également mettre en œuvre leurs propres mesures pour am�éliorer leur sécurité personnelle en ligne, comme des mots de passe forts et uniques et le renforcement de la sécurité du Wi-Fi.