エコバックスの家庭用ロボットはハッキングされて所有者をスパイできると研究者らが指摘

Cemubo vgnpne 0
Apps
エコバックスの家庭用ロボットはハッキングされて所有者をスパイできると研究者らが指摘

新たな調査によると、悪意のあるハッカーがエコバックス社製の掃除機や芝刈りロボットの制御を乗っ取り、機器のカメラやマイクを使って所有者をスパイする可能性があることが判明した。

セキュリティ研究者のデニス・ギース氏とブレイリン・ルードケ氏は、土曜日に開催されるハッキングカンファレンス「Def Con」で、Ecovacsロボットに関する研究成果について講演する予定です。複数のEcovacs製品を分析した結果、Bluetooth経由でロボットをハッキングし、マイクやカメラを遠隔操作で密かにオンにできる脆弱性が複数発見されました。 

「彼らのセキュリティは本当に、本当に、本当に、本当にひどかった」とギース氏は講演前のTechCrunchのインタビューで語った。

研究者らは、エコバックス社に連絡して脆弱性を報告したが、同社からは返答がなく、脆弱性は未だに修正されておらず、ハッカーに悪用される可能性があると考えていると述べた。 

エコバックスの広報担当者はTechCrunchに対し、研究者らが発見した欠陥は修正しないと述べ、「ユーザーはこれについて過度に心配する必要はないので安心してください」と語った。

研究者によると、主な問題は、スマートフォンを使ってEcovacsのロボットにBluetooth経由で最大450フィート(約130メートル)離れた場所から接続し、操作できる脆弱性があることです。ハッカーがデバイスの制御権を握れば、ロボット自体はWi-Fi経由でインターネットに接続されているため、遠隔操作が可能になります。

「1秒かかるペイロードを送信すると、マシンに接続し直します。つまり、例えばインターネット上のサーバーに接続して、そこからロボットを遠隔操作できるのです」とギース氏は述べた。「Wi-Fiの認証情報を読み取ったり、保存されている部屋の地図をすべて読み取ったりできます。ロボットのLinuxオペレーティングシステムの動作を制御できるからです。カメラやマイクなど、あらゆるデバイスにアクセスできます。」 

ハッキングされたエコバックスのデバイスのカメラを通して見た、誰かの家のソファに座っている犬。
ハッキングされたエコバックスのデバイスを通して見た犬。画像提供:デニス・ギーズ、ブレイリン・ルードケ

ギース氏によると、芝刈りロボットは常時 Bluetooth が有効になっているが、掃除ロボットは電源を入れると 20 分間、そして 1 日に 1 回自動再起動するときに Bluetooth が有効になるため、ハッキングが少し難しくなるという。

エコバックスの新型ロボットのほとんどには少なくとも1台のカメラとマイクが搭載されているため、ハッカーが侵入したロボットを制御下に置くと、ロボットをスパイに仕立て上げることができます。研究者によると、これらのロボットには、カメラやマイクがオンになっていることを近くにいる人に知らせるハードウェアライトやその他のインジケーターは搭載されていません。 

一部のモデルでは、理論上はカメラがオンになっていることを知らせる音声ファイルが5分ごとに再生されるが、ハッカーは簡単にそのファイルを削除してステルス性を維持できるとギーゼ氏は述べた。 

「基本的には、ファイルを削除するか、空のファイルで上書きするだけです。つまり、カメラにリモートアクセスしても警告は再生されなくなります」とギーゼ氏は述べた。

ギーゼ氏とルードケ氏は、ハッキングの危険性以外にも、エコバックスの機器には他の問題も見つかったと述べた。

問題点として、ロボットに保存されたデータは、ユーザーのアカウントを削除した後もEcovacsのクラウ​​ドサーバーに残ります。認証トークンもクラウド上に残るため、アカウントを削除した後でも誰かがロボット掃除機にアクセスでき、中古のロボットを購入した人物をスパイできる可能性があります。また、芝刈りロボットには盗難防止機能が搭載されており、ロボットを持ち上げる際に暗証番号の入力を求められますが、その暗証番号は芝刈り機内に平文で保存されているため、ハッカーが簡単に見つけて使用できる可能性があります。  

研究者らは、Ecovacs ロボットが一度侵入されると、そのデバイスが他の Ecovacs ロボットの範囲内にある場合、それらのデバイスもハッキングされる可能性があると述べた。 

Giese氏とLuedtke氏は、Ecovacs Deebot 900シリーズ、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA、およびEcovacs Airbot ANDYを分析したと述べています。

更新、8月14日午後1時22分(東部標準時):この記事はEcovacsの声明を含めるように更新されました。

Lorenzo Franceschi-Bicchierai 氏は TechCrunch のシニアライターであり、ハッキング、サイバーセキュリティ、監視、プライバシーなどをカバーしています。

ロレンゾからの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal の +1 917 257 1382 に暗号化されたメッセージを送信するか、Keybase/Telegram の @lorenzofb にメッセージを送信してください。

バイオを見る

Posted by Cemubo
Related Topics
インドの健康保険スタートアップ企業PlumがTiger Global主導の投資で1560万ドルを調達
ディズニーのホットスターが同時視聴者数5900万人を突破、新記録を樹立
Netflixは2015年以来、加入者数の伸び率が最低となった。
テスラの「完全自動運転」ベータ版リリース後、イーロン・マスクは約2,000ドルの値上げを約束
TLcom Capitalのマネージングパートナー、マウリツィオ・カイオ氏がアフリカのユニコーン企業、評価額、エグジットについて語る
Arzooo が 7000 万ドルを調達し、インドの実店舗に「最高の e コマース」を提供
You May Like
ARRが200%以上成長した後、Occupierは1,050万ドルを調達し、企業の不動産チームのOSとなる
ARRが200%以上成長した後、Occupierは1,050万ドルを調達し、企業の不動産チームのOSとなる
Netflixは2015年以来、加入者数の伸び率が最低となった。
Netflixは2015年以来、加入者数の伸び率が最低となった。
ダイソンのベインマスクを顔に装着しました
ダイソンのベインマスクを顔に装着しました
Arzooo が 7000 万ドルを調達し、インドの実店舗に「最高の e コマース」を提供
Arzooo が 7000 万ドルを調達し、インドの実店舗に「最高の e コマース」を提供