Incidents associés
TL;DR
- Plusieurs aspirateurs robots ECOVACS Deebot X2 auraient été piratés dans plusieurs villes des États-Unis.
- On prétend que les robots piratés faisaient tout ce qu'ils pouvaient, depuis crier des insultes aux propriétaires jusqu'à poursuivre les animaux de compagnie.
- Des chercheurs en sécurité ont informé l'entreprise que des failles de sécurité importantes avaient été découvertes dans ses robots et dans l'application qui les contrôle.
La cybersécurité n'est pas quelque chose à prendre à la légère, et un nouveau rapport sur un produit maison intelligente le souligne parfaitement. Au cours de plusieurs jours, plusieurs aspirateurs robots ont été piratés dans plusieurs villes des États-Unis.
ABC News en Australie rapporte que des pirates informatiques ont pu prendre le contrôle total d’aspirateurs robots dans plusieurs villes du pays. Le piratage a permis aux attaquants de crier des insultes raciales aux propriétaires, de contrôler à distance l’appareil pour poursuivre les animaux domestiques et de voir à travers la caméra de l’aspirateur. Tous les aspirateurs robots concernés étaient de la même marque et du même modèle, l’ECOVACS Deebot X2 de fabrication chinoise.
Un rapport provient d’un avocat du Minnesota nommé Daniel Swenson. Dans le cas de Swenson, il regardait la télévision lorsqu’il a remarqué que son aspirateur faisait des bruits étranges, comme un « signal radio interrompu ou quelque chose comme ça ». Swenson a déclaré au média qu’il avait réinitialisé son mot de passe et redémarré le robot après avoir vu qu’un inconnu accédait au flux de la caméra en direct et à la fonction de contrôle à distance. Après s’être assis sur le canapé avec sa femme et son fils de 13 ans, le robot a immédiatement recommencé à bouger et la famille de Swenson a pu entendre des obscénités racistes se répandre aussi clairement que le jour.
« J’ai eu l’impression que c’était un enfant, peut-être un adolescent », a déclaré Swenson. « Peut-être qu’ils sautaient simplement d’un appareil à l’autre pour embêter les familles. » L’avocat a depuis éteint l’appareil et l’a emporté dans son garage où il reste éteint. Malgré le côté effrayant de tout cela, Swenson dit que cela aurait pu être pire, le pirate aurait pu observer tranquillement sa famille sans que personne ne s’en aperçoive. Swenson dit qu’il a gardé le robot au même étage que la salle de bain principale de la famille, ajoutant que « nos plus jeunes enfants prennent leurs douches là-bas. »
L’incident au Minnesota s’est produit le 24 mai, le jour même où un Deebot X2 a été piraté à Los Angeles et utilisé pour chasser le chien du propriétaire. Un autre incident a été signalé à El Paso où, comme dans le Minnesota, des insultes raciales ont été lancées contre le propriétaire jusqu'à ce qu'il soit débranché.
On ne sait pas exactement combien de Deebot X2 ont été piratés, mais ECOVACS aurait été averti six mois auparavant par des chercheurs en sécurité de graves vulnérabilités de sécurité dans ses robots et son application. La faille la plus grave était le connecteur Bluetooth, qui pouvait donner à quelqu'un un accès complet à plus de 300 pieds de distance, ce qui n'est probablement pas la cause de ces incidents. En décembre 2023, les chercheurs en sécurité Dennis Giese et Braelynn Luedtke ont également découvert un problème avec le système de code PIN protégeant le flux de la caméra. Le code PIN n'était vérifié que par l'application et non par un serveur ou le robot, ce qui signifie que la vérification pouvait être contournée si vous possédez les connaissances techniques nécessaires.
ECOVACS a été averti de ce problème avant que le duo ne rende public l'exploit. Un porte-parole affirme que la vulnérabilité a été corrigée, mais Giese a déclaré à ABC que la solution était insuffisante.
Selon la publication, ECOVACS prévoit de publier un correctif pour le Deebot X2 en novembre. Il a également été indiqué que la société avait envoyé un e-mail aux clients les invitant à modifier leur mot de passe.