Des pirates informatiques ont également attaqué des robots aspirateurs vendus en Finlande, rapporte la chaîne australienne ABC. Ecovacs est l’un des plus grands fabricants mondiaux d’aspirateurs robots et les chercheurs l’ont mis en garde dès décembre 2023 contre le manque de sécurité des données.
Le manque de sécurité des informations dans le robot aspirateur Ecovacs Deebot X2 a été exploité au moins aux États-Unis. Ecovacs
- Aux États-Unis, d’étranges incidents ont été signalés impliquant le robot aspirateur Ecovacs.
- La chaîne australienne ABC a réussi à pirater l’appareil lors de son propre test.
- Le fabricant chinois de l’appareil a commenté le test d’ABC vendredi 18 octobre.
Diffuseur australien ABC affirme que les pirates informatiques qui ont attaqué le robot aspirateur Ecovacs Deebot X2 de fabrication chinoise ont amené les appareils à diffuser des expressions racistes, à contrôler leurs mouvements et même à photographier secrètement des maisons aux États-Unis. Les cas ont été signalés en Finlande plus tôt Ilta-Sanomat.
Avocat du Minnesota Daniel Swenson a déclaré à ABC qu’en mai dernier, il regardait la télévision chez lui avec sa famille lorsque le robot aspirateur de la maison a commencé à se comporter de manière inhabituelle.
– Cela ressemblait à un signal radio crépitant ou quelque chose comme ça. Cela ressemblait à de petits extraits d’une voix humaine, a déclaré Swenson à ABC.
Swenson a vu sur l’application mobile Ecovacs qu’un inconnu avait eu accès à la caméra et à la fonction de télécommande de l’appareil.
Même à ce stade, Swenson considérait ce qui s’était passé comme une sorte de bug technique. Cependant, pour des raisons de sécurité, il a modifié le mot de passe de son compte Ecovacs et redémarré l’appareil.
Tournez pour le pire
Cependant, presque immédiatement après le redémarrage, le robot a recommencé à bouger. Cette fois, on ne savait pas non plus ce qui venait du haut-parleur du robot.
Les gros mots commençant par V et les insultes commençant par n ont résonné dans le salon familial jusqu’à ce que Swenson éteigne complètement l’appareil. La voix lui semblait appartenir à un enfant, peut-être à un adolescent.
Le choc s’est rapidement transformé en peur puis en dégoût. Malgré cet événement confus, Swenson se dit soulagé que la personne qui a piraté l’appareil se soit révélée de manière aussi claire et n’ait pas, par exemple, observé la famille en secret.
Dans un autre cas, un robot aspirateur a poursuivi un chien
D’autres cas similaires ont été révélés aux États-Unis en mai. À Los Angeles, le Deebot X2 d’Ecovacs s’est soudainement mis à courir après le chien de la famille. À El Paso, des insultes racistes ont également commencé à être entendues par le même aspirateur.
Les chercheurs en sécurité ont alerté Ecovacs en décembre dernier sur les failles de sécurité des aspirateurs robotisés de l’entreprise et de l’application utilisée pour les gérer.
Selon ABC, la faille la plus grave trouvée était liée à la connexion Bluetooth de l’appareil, où la vulnérabilité trouvée permettait à un pirate informatique de prendre le contrôle de l’appareil même à plus de 100 mètres. Cependant, jusqu’à présent, il n’est pas certain que cette vulnérabilité particulière ait été exploitée dans ces cas.
ABC a réussi dans son propre test pour pénétrer dans l’appareil, sa caméra et d’autres capteurs à une distance de 140 mètres en utilisant uniquement une connexion Bluetooth. L’appareil était également utilisé pour accéder au réseau Wi-Fi auquel il était connecté.
Le robot aspirateur Ecovacs Deebot X2 est vendu entre autres en Finlande Un géant, Pouvoir et Veikon Koné.
Commentaires du fabricant
Vendredi, la société chinoise Ecovacs a publié une déclaration aux médias faisant état de l’incident rapporté par ABC. Elle dit avoir discuté du test réalisé par ABC avec le même chercheur en sécurité de l’information qui a également aidé ABC à réaliser le test.
– Les méthodes actuelles de piratage des robots aspirateurs via la connexion Bluetooth n’affectent pas les consommateurs ordinaires, affirme en pratique Ecovacs, niant seulement que le piratage de l’appareil via la connexion Bluetooth expliquerait des cas étranges.
Selon Ecovacs, le piratage tel que décrit par ABC nécessite un accès physique à l’appareil et une pression soit sur le bouton de connexion réseau, soit sur le bouton de réinitialisation. Après cela, l’attaquant doit décompiler le micrologiciel et l’application de l’appareil et avoir une compréhension approfondie du protocole utilisé sur l’appareil pour effectuer les étapes de piratage suivantes.
– Ainsi, les utilisateurs n’ont pas à se soucier de la sécurité des produits, a déclaré l’entreprise.
Ecovacs n’a pas commenté directement les cas aux États-Unis où des étrangers avaient pris le contrôle des robots aspirateurs. L’entreprise s’est contentée de rappeler que les mêmes noms d’utilisateur et mots de passe ne doivent pas être utilisés sur différentes plateformes et a exhorté à changer régulièrement de mot de passe.
– Nous répondons à ces actions malveillantes en testant et en mettant en œuvre des vérifications de connexion en plusieurs étapes et des mécanismes de détection en temps réel, et nous mettons constamment à jour nos stratégies de défense.
Article édité le 18.10. à 15h10 : Ajout des commentaires du fabricant.