Parfois, je regarde mon robot aspirateur et je me demande s’il sait à quel point je l’aime. Je ne me demande pas s’il me regarde, pensant… eh bien… qui sait quoi ? Cependant, si j’avais un robot aspirateur EcoVac, c’est probablement tout ce à quoi je penserais et, tout aussi rapidement, je jetterais une couverture sur sa caméra potentiellement gourmande.
Selon un nouveau rapport Et même si les robots aspirateurs sont depuis longtemps l’œuvre de pirates informatiques, certains aspirateurs Ecovac, avec une certaine habileté, mais sans accès physique, peuvent être piratés, donnant ainsi aux attaquants potentiels l’accès à tous les systèmes et capteurs embarqués, y compris les caméras.
C’est une histoire simple et quelque peu inquiétante : Julian Fell, journaliste pour ABC Australie, a suivi des informations selon lesquelles certains aspirateurs EcoVac pourraient être piratés et bientôt, avec la permission d’un propriétaire d’EcoVac, a piraté un robot aspirateur pour protéger l’information. Bureau de chantier.
N’étant pas lui-même un pirate informatique, Fell a travaillé avec Dennis Giese, chercheur en cybersécurité à l’Université Northeastern, qui (avec ses collègues Braylin Luedtke et Chris Anderson) a découvert le piratage et a passé des années à rechercher les vulnérabilités des aspirateurs robots. Par e-mail, Giese m’a dit qu’il avait étudié la plupart des principaux fabricants de robots aspirateurs, notamment Neato et iRobot. « EcoVax n’a pas eu de chance cette année, car je change habituellement de fournisseur chaque année. L’année prochaine, cela pourrait affecter un autre fournisseur. »
Giese a développé une charge utile et Fell a simplement dû se tenir devant ses bureaux, se connecter au robot aspirateur via Bluetooth et y télécharger la charge utile cryptée de Giese. Cela a déclenché une fonction dans le vide d’EcoVac, qui a provoqué le téléchargement d’un script depuis le serveur de Giese, puis son exécution. En quelques instants, Fell et Giese eurent accès au flux de la caméra du robot aspirateur. Selon le rapport, ils ont pu voir exactement ce qu’il a vu et, plus agréablement, ont pu utiliser le haut-parleur pour envoyer un message au propriétaire de l’EchoVac : « Bonjour Shawn, je te regarde. »
À aucun moment au cours de ce processus, le robot aspirateur n’a indiqué qu’il était sous contrôle externe.
Point de vue d’Ecovac
Lorsqu’il a été contacté au sujet de l’histoire du piratage, Ecovacs m’a envoyé cette réponse :
« ECOVACS accorde la plus haute priorité à la sécurité des données et à la confidentialité des clients. Pour résoudre certains des problèmes de sécurité soulevés au cours des derniers mois, le comité de sécurité d’ECOVACS a lancé un processus d’examen interne des connexions réseau et du stockage des données. sécurité accrue du produit Il a été amélioré dans plusieurs dimensions et continuera à renforcer la sécurité du système dans les prochaines mises à jour.
C’était légèrement différent de ce que disait l’entreprise. TechCrunch en aoûtÀ l’époque, il mentionnait le processus d’examen interne, mais disait également que les consommateurs n’avaient pas à s’en inquiéter, affirmait la déclaration fournie à TechCrunch, « comme l’ont rapporté Giese et Brelin. Les problèmes de sécurité sont extrêmement rares dans les environnements d’utilisateurs typiques et nécessitent des outils de piratage spécialisés et un accès physique à l’appareil. Par conséquent, les utilisateurs peuvent être assurés qu’ils n’ont pas à s’en soucier excessivement.
Même si EchoVac avait probablement raison à propos de l’outil de programmation, j’ai interrogé Giese sur l’allégation d’« accès physique », car le rapport de Fell détaillait comment il utilisait Bluetooth depuis l’extérieur de son bureau pour pirater l’aspirateur. Il avait accès à la connexion et à la charge utile de votre téléphone.
Giese m’a dit qu’il existe de nombreuses vulnérabilités différentes, mais pour les vulnérabilités piratées par Fell, « tout ce dont vous avez besoin est un téléphone et une charge utile magique. Pas d’accès physique, vous n’avez même pas besoin de savoir où se trouve le robot, peu importe qui. » c’est le cas, ou de quel type de modèle il s’agit, si vous êtes à portée, vous pouvez le faire.
Giese a parlé pour la première fois à Ecovacs de la vulnérabilité en décembre 2023 et a déclaré à Fell que l’entreprise n’avait même pas répondu au message au départ. Cependant, Giese n’est pas un pirate informatique et n’a pas l’intention de divulguer les détails du piratage au public. En fait, ils n’entretiennent aucune relation particulière avec Ecovacs.
« EcoVax a été malheureux cette année… Je ne me concentre pas beaucoup sur EcoVax et si les problèmes avaient été résolus, j’aurais déjà tourné la page. »
Giese a déclaré : « Il semble que j’attaque cette entreprise et que je veuille lui faire du mal, mais ce n’est pas vrai. Je ne suis pas trop concentré sur EcoVax et si les problèmes étaient résolus, je le serais déjà. J’aurais évolué. »
Il a déclaré qu’il ne blâmait pas nécessairement Ecovacs pour ces vulnérabilités et d’autres vulnérabilités des aspirateurs robots. Il affirme que l’entreprise a payé pour obtenir la certification appropriée. « Ecovax est également une victime ici. Ils ont payé de l’argent à quelqu’un qu’ils espéraient certifier selon une norme (ETSI xxxx). De nombreuses choses auraient dû être respectées (par exemple, des problèmes SSL), mais elles ne l’ont pas été. Trouvé « .
Ce que vous devez faire si vous possédez un robot aspirateur Ecovacs : Commencez par vous assurer que tous vos logiciels sont à jour. EcoVax ne peut pas admettre qu’il s’agit d’une vulnérabilité dangereuse, mais EcoVax nous a dit : « Nous avons amélioré la sécurité des produits dans plusieurs dimensions », ce qui me semble être une mise à jour logicielle.
En attendant, vous pouvez faire comme le client d’origine d’Ecovacs et mettre une couverture sur la caméra du robot aspirateur lorsqu’elle n’est pas utilisée.
