米国の複数の都市のロボット掃除機所有者が、自分のデバイスがハッキングされたと報告している。見知らぬ人がライブカメラフィードやリモコン機能にアクセスし、オンボードスピーカーから中傷的な言葉を叫んでいる。ABCの調査によると、一部のロボットは暴走し、家の中で犬を追いかけ回した。
影響を受けたモデルはすべて中国製のEcovacs Deebot X2で、現在小売価格は約900ドルである。同社は、一部の製品に脆弱性が影響していることを確認した。
ABCのレポートによると、ハッキングは米国の複数の都市で数日間にわたって行われた。一部��のユーザーは ABC に対し、ロボットの音が途切れ途切れの無線信号のように聞こえると語り、Ecovacs アプリは攻撃者がライブ カメラ フィードとリモート コントロール機能にアクセスしていることを明らかにしました。
パスワードをリセットしてロボットを再起動したにもかかわらず、すぐに異常な動作が再開しました。所有者は、ロボットが何日も密かにスパイ行為に使用できることを知り、ショックを受けました。
セキュリティ研究者は以前、Ecovacs に重大なセキュリティ上の欠陥を報告していました。1 つは Bluetooth コネクタに影響し、100 メートル以上離れた場所から X2 モデルに完全にアクセスできるようになりました。もう 1 つの欠陥のあるシステムは、ロボットのビデオ フィードとリモート コントロール機能を保護する PIN コードでした。
ハッカーは、カメラの使用時に鳴る警告音を無効にすることに成功しました。
Ecovacs は ABC に対し、所有者のアカウントがハッキングされた証拠や Ecovacs のシステムへの侵入の兆候は見つからなかったと述べました。ただし、サイバーセキュリティ研究者は以前、デバイスを保護する 4 桁の PIN をバイパスする方法を実証しました。PIN はサーバーやロボットではなくアプリによってのみチェックされるからです。
Ecovacs はこの欠陥に対するパッチをリリースした。しかし、ABC の情報筋によると、それは不十分だったという。
2024 年 5 月末、Ecovacs は、同じ IP アドレスから複数のログイン試行があった場合に資格情報の詰め込みイベントを特定し、すぐにブロックした。
同社は、11 月に無線ファームウェア アップデートをリリースす�ることで、X2 シリーズのセキュリティをさらに強化する予定である。Ecovacs は、強力で一意のパスワードや WiFi セキュリティの強化など、個人のオンライン セキュリティを向上させるための独自の手順をユーザーも実装する必要があると指摘した。