奇妙で不安をかき立てる一連の事件で、中国のエコバックス社が製造したロボット掃除機が米国の複数の都市でハッキングされ、所有者に人種差別的な言葉を吐き出している。
影響を受けた掃除機、具体的にはDeebot X2モデルは、よく知られたセキュリティ上の脆弱性が原因で侵害を受けており、同社のサイバーセキュリティへの取り組みについて深刻な懸念が生じている。
ハッキングにより、攻撃者は掃除機の動きを制御し、内蔵スピーカーを使用して不快な言葉を叫ぶことができた。
ミネソタ州では、弁護士のダニエル・スウェンソン氏が掃除機から奇妙な音が聞こえたと最初に気付いたが、その後、明らか�に家族に向けた人種差別的な言葉にエスカレートした。
ロサンゼルスでは、掃除機が犬を追いかけながら暴言を吐いたこともあった。
エルパソで起きた別の事件も同様のパターンをたどった。
主な脆弱性は、今年初めにサイバーセキュリティ研究者によって警告されていたエコバックスのBluetoothシステムとPINコード保護の欠陥にある。
警告にもかかわらず、同社はこれらの問題に完全に対処していなかった。
研究者らは、掃除機のカメラとリモコンへのアクセスを保護するはずの PIN システムをハッカーが回避し、悪意のある攻撃にさらす可能性があることを明らかにした。
スウェンソン氏はこの事件を Ecovacs に報告したが、当初はカスタマー サポートから懐疑的な態度をとられた。最終的に同社は、彼のアカウントが「クレデンシャル スタッフィング」によって侵害されたことを認めた。これは、ハッカーが他のデータ侵害から盗んだユーザー名とパスワードを再利用する手法である。
Ecovacs はその後セキュリティ調査を実施し、ハッカーの IP アドレスを無効にしたが、デバイスの全体的なセキュリティに関する懸念は残っている。
Ecovacs は PIN コードの欠陥を修正したと主張しているが、サイバーセキュリティの専門家はパッチでは不十分かもしれないと警告している。
同社は 11 月に X2 シリーズのセキュリティ アップグレードを約束しているが、今のところ多くの顧客はハッキングされたデバイスを警戒している。
これらの事件は、スマートホームデバイスのセキュリティに大きな欠陥があることを浮き彫りにしており、制御が悪意のある人物の手に渡�った場合、プライバシー侵害と有害な動作の両方が発生する可能性がある。