De nouvelles recherches ont révélé que des pirates malveillants peuvent prendre le contrôle des aspirateurs et des tondeuses à gazon fabriqués par Ecovacs pour espionner leurs propriétaires à l’aide des caméras et des microphones de ces appareils.

Les chercheurs en Sécurité Dennis Giese et Braelynn doivent prendre la parole lors de la conférence sur le piratage Def Con samedi, détaillant leurs recherches sur Ecovacs Robots. Lorsqu’ils ont analysé plusieurs produits Ecovacs, les deux chercheurs ont trouvé un certain nombre de problèmes qui peuvent être utilisés pour pirater les robots via Bluetooth et allumer subrepticement les microphones et les caméras à distance.

« Leur sécurité était vraiment, vraiment, vraiment, vraiment mauvaise », a déclaré Giese à fr.techtribune.netdans une interview avant la conférence.

Les chercheurs ont déclaré qu’ils avaient contacté Ecovacs pour signaler les vulnérabilités, mais qu’ils n’avaient jamais eu de réponse de l’entreprise, et qu’ils pensaient que les vulnérabilités n’étaient toujours pas corrigées et pourraient être exploitées par des pirates.

Ecovacs n’a pas répondu aux demandes de commentaires de TechCrunch.

Publicité

Le principal problème, selon les chercheurs, est qu’il existe une vulnérabilité qui permet à toute personne utilisant un téléphone de se connecter et de prendre le contrôle d’un robot Ecovacs via Bluetooth à partir d’une distance allant jusqu’à 450 pieds (environ 130 mètres). Et une fois que les pirates prennent le contrôle de l’appareil, ils peuvent s’y connecter à distance car les robots eux-mêmes sont connectés via Wi-Fi à Internet.

« Vous envoyez une charge utile qui prend une seconde, puis elle se reconnecte à notre machine. Ainsi, celui-ci peut, par exemple, se reconnecter à un serveur sur Internet. Et à partir de là, nous pouvons contrôler le robot à distance », a déclaré Giese. « Nous pouvons lire à haute voix sur les identifiants Wi-Fi, nous pouvons lire tous les [saved room] Cartes. Nous le pouvons, parce que nous sommes assis sur le fonctionnement du système d’exploitation Linux du robot. Nous pouvons accéder aux caméras, aux microphones, peu importe.

Un chien sur un canapé dans la maison de quelqu’un vu à travers la caméra d’un appareil Ecovacs piraté.
Un chien vu à travers un appareil Ecovacs piraté.
Crédits image : Dennis Giese et Braelynn

Giese a déclaré que les robots tondeuses à gazon ont Bluetooth actif à tout moment, tandis que les robots aspirateurs ont Bluetooth activé pendant 20 minutes lorsqu’ils s’allument, et une fois par jour lorsqu’ils font leur redémarrage automatique, ce qui les rend un peu plus difficiles à pirater.

Étant donné que la plupart des nouveaux robots Ecovacs sont équipés d’au moins une caméra et d’un microphone, une fois que les pirates ont le contrôle d’un robot compromis, les robots peuvent être transformés en espions. Les robots n’ont pas de voyant matériel ou d’autre indicateur qui avertit les personnes à proximité que leurs caméras et microphones sont allumés, selon les chercheurs.

Sur certains modèles, il y a, en théorie, un fichier audio qui est lu toutes les cinq minutes indiquant que la caméra est allumée, mais les pirates pourraient facilement supprimer le fichier et rester furtifs, a déclaré Giese.

« En gros, vous pouvez simplement supprimer ou écraser le fichier avec le fichier vide. Ainsi, les avertissements ne sont plus diffusés si vous accédez à la caméra à distance », a déclaré Giese.

Outre le risque de piratage, Giese et Braelynn ont déclaré avoir trouvé d’autres problèmes avec les appareils Ecovacs.

Parmi les problèmes, ils ont déclaré : Les données stockées sur les robots restent sur les serveurs cloud d’Ecovacs même après la suppression du compte de l’utilisateur ; Le jeton d’authentification reste également sur le cloud, ce qui permet à quelqu’un d’accéder à un aspirateur robot après avoir supprimé son compte et lui permet potentiellement d’espionner la personne qui a peut-être acheté le robot d’occasion. De plus, les robots tondeuses à gazon disposent d’un mécanisme antivol qui oblige quelqu’un à entrer un code PIN s’il prend le robot, mais le code PIN est stocké en texte clair à l’intérieur de la tondeuse à gazon afin qu’un pirate puisse facilement le trouver et l’utiliser.

Les chercheurs ont déclaré qu’une fois qu’un robot Ecovacs est compromis, si l’appareil est à portée d’autres robots Ecovacs, ces appareils peuvent également être piratés.

Giese et Braelynn ont déclaré avoir analysé les appareils suivants : Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA et Ecovacs Airbot ANDY.

[ad_2]

5/5 - (327 votes)
Publicité
Article précédentEwan Mitchell parle d'Aemond, Daemon, finale de la saison 2 de « La Maison du Dragon »
Article suivantC'est officiel, une grande partie des fans d'Elden Ring sont désormais pires qu'un poisson rouge à Shadow of the Erdtree
Berthe Lefurgey
Berthe Lefurgey

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici