وقتی «شارون کلی» جاروبرقی رباتیک (رومبا) خرید، تصور کرد خرید معقولی انجام داده است. او با خرید Ecovacs Deebot X2 با قیمت ۱۶۰۰ دلار، تقریبا مطمئن بود که علاوه بر تمییز ماندن منزل، از هکرها هم در امان میماند.
او نميدانست که رومبایی که خریده شامل یک نقص امنیتی است که میتواند به هر کسی امکان دیدن و شنیدن تمام حرکاتشان را بدهد.
این نقص یک تئوری نیست، محقق امنیتی، Dennis Giese، که سالها صرف پیدا کردن نقص امنیتی در جاروبرقیهای رباتیک کرده، از این نقص استفاده کرد.
Giese روشی را برای بهره برداری از راه دور از رباتهای Ecovacs – از جمله ماشینهای چمن زنی و جاروبرقی Deebot – از طریق بلوتوث کشف و به اطلاعات حساس و به دوربین و میکروفون داخلی دسترسی پیدا کرد.
مانند هر محقق امنیتیای، Giese به Ecovacs در مورد این آسیبپذیری اطلاع داد. با این حال، با وجود اطلاعرسانی در دسامبر ۲۰۲۳، حفره امنیتی هنوز برطرف نشده است.
اخبار ABC تلویزیون استرالیا در مورد کشف این نقص با دیز تماس گرفتند و – با اجازه کلی – رومبا را هک کردند. خبرنگاران خبری نه تنها میتوانستند کلی را در حال نوشیدن یک فنجان قهوه در آشپزخانه اداری طبقه چهارم خود ببینند، بلکه توانستند با او صحبت کنند.
صدای رومبا: سلام شان، من تو را میبینم.
این دسترسی از راه دور و از طریق بلوتوث بود. و خبرنگاری که ربات جاروبرقی را هک کرده بود در همان اتاق یا حتی همان دفتر نبود – بلکه در پارکی روبروی خیابان قرار داشت.
Giese گفت که Ecovacs در دسامبر ۲۰۲۳ به او مورد آسیبپذیری امنیتی کشف شده پاسخی نداد. پس از اینکه Giese برخی جزئیات را در کنفرانس هک در ماه آگوست علنی کرد، آنها در ابتدا این موضوع را کم اهمیت جلوه دادند و ادعا کردند که برای گرفتن دسترسی به ابزارهای هک تخصصی و دسترسی فیزیکی نیاز است.
با این حال، نمایش ABC نشان داد که نیازی به دسترسی فیزیکی یا حتی در محل بودن نیست – و این هک میتوانست با یک تلفن هوشمند ارزان قیمت انجام شود.
به نظر میرسد Ecovacs اکنون این مشکل را جدیتر گرفته است و اعلام کردند بهروزرسانیهای امنیتی برای برخی از مدلها شروع شده است و در نوامبر ۲۰۲۴ برای Deebot X2 در دسترس خواهد بود.
