Petteri Pyyny
7. lokakuuta, 2024 18:37
Yhdeksi maailman johtavaksi kotirobotiikan yhtiöksi kasvanut kiinalainen Ecovacs on jyrännyt vauhdilla itsensä robottimarkkinoiden isoksi nimeksi myös Suomessa.
Olemme arvosteluissamme kehuneet mm. yhtiön mainiota moppaava, esteitä väistelevää Deebot X2 Omnia sekä WinBot ikkunanpesurobottia.
Mutta yhtiön roboteista on löytynyt tietoturva-aukkoja, joita kiinalaisyhtiö ei ole ilmoituksista huolimatta suostunut paikkaamaan. Etenkin kotirobottien tietoturvaongelmiin keskittynyt valkohattuhakkeri Dennis Giese paljasti elokuussa järjestetyssä DEFCON -tapahtumassa, miten käytännössä kaikkiin Ecovacsin tuotteisiin voi murtautua (PDF) pelkän kännykän ja Bluetooth-yhteyden avulla.
Robotti-imureiden lisäksi samat tietoturvaongelmat löytyivät myös mm. Ecovacsin rajalangattomasta robottiruohonleikkurista.
Australian yleisradion tekemässä jutussa Giese kertoo, miten suojausten ohittamisen jälkeen hänellä on käsissään käytännössä kodin lähiverkossa oleva tietokone, robotin muodossa. Robotti paljastaa samalla myös mm. langattoman lähiverkon salasanan hyökkääjälle, jolloin myös kotin lähiverkkoon voi kytkeytyä kuka tahansa.
Erityisen huolestuttaviksi löydökset tekee se, että Ecovacsin kalleimmissa robotti-imureissa on kaikissa kamera. Kameraa käytetään esteiden väistelyyn, mutta hyökkääjä voi käyttää kameraa myös kodin tarkkailuun - omistajan tietämättä asiasta mitään.
Ecovacs kertoi elokuussa 2024 vastineessaan Gieselle, että yhtiö ei aio paikata Giesen löytämiä tietoturva-aukkoja. Yhtiön mukaan "suuren yleisön ei tarvitse huolestua tarpeettoman paljoa [löydetystä tietoturva-aukosta".
Myöhemmin Ecovacs on kuitenkin muuttanut kantaansa ja on päivittänyt osan malleistaan, joista tietoturva-aukko on löydetty. Yhtiön lippulaivamalli, eli arvostelussammekin käynyt X2 tullaan Ecovacsin mukaan paikkaamaan vasta marraskuussa 2024.
Hämmentäväksi tapauksen tekee se, että Ecovacsin tuotteilla on saksalaisen, tunnetun tietoturva-auditoijan TUV Rheinlandin tietoturvasertifikaatti. Mutta kun Australian yleisradio tiedusteli TUV Rheinlandilta asiasta tarkemmin, organisaatio kertoi, että se ei testaa kuluttajatuotteita niin, että niihin kohdistettaisiin "ammattimaisia hakkerointiyrityksiä".
Eli organisaatio, jonka tietoturvasta kertova leima on valtavassa määrässä tuotteita, kertoo, että sen antama leima ei takaa mitään, jos joku "oikeasti" haluaa murtautua tuotteeseen.
Myöskään kameraton robotti-imuri ei tässä tapauksessa olisi taannut juurikaan mielenrauhaa, sillä käytännössä kaikki robotti-imurit kytketään lähiverkkoon - ja Ecovacsin tapauksessa hyökkääjä saisi robotin avulla pääsyn kodin lähiverkkoon.