Petteri Pyyny
17. lokakuuta, 2024 22:25
Uutisoimme jo pari viikkoa sitten, miten yksi maailman suurimmista robotti-imureiden valmistajista, kiinalainen Ecovacs on päästänyt robotti-imureidensa tietoturvan lipsumaan.
Tietoturva-asiantuntija, erilaisten älykkäiden laitteiden tietoturvaan keskittynyt Dennis Giese paljasti elokuussa järjestetyssä DEFCON -tapahtumassa, miten Ecovacsin uusimpiin ja kalleimpiin robotti-imureihinkin pääsee murtautumaan pelkällä kännykällä ja kaappaamaan robotin hyökkääjän käyttöön. Kikka tapahtuu Bluetoothin yli ja vaatii hyökkääjää olemaan Bluetoothin, noin 100 metrin kantaman sisällä.
Giese varoitti asiasta Ecovacsia etukäteen, mutta yhtiö ei paikannut tietoturva-aukkoa roboteistaan ja viimeisimmän tiedon mukaan mm. arvostelussammekin käynyt, yli tuhat euroa maksava Ecovacs Deebot X2 Omni saa aukon tukkivan päivityksen vasta marraskuussa.
Nyt Ecovacsin tuotteista on ilmeisesti löytynyt uusi, erilainen tietoturva-aukko ja sitä on alettu uutislähteiden mukaan käyttämään jo hyväksi. Australian yleisradioyhtiö ABC kertoo Ecovacsin imureiden joutuneen hakkereiden kynsiin useissa amerikkalaiskaupungeissa.
Tilanteen tekee ongelmalliseksi se, että Ecovacsin kalleimmissa malleissa, mm. X2:ssa, on kamera, mikrofoni ja kaiutin. Kameraa nykyaikaiset roboimurit käyttävät älykkääseen esteiden väistelyyn, mutta niitä markkinoidaan myös kodin turvallisuuden parantajiksi - omistaja voi kurkata kotiin roboimurin keulalla olevasta kamerasta.
Mikrofonia puolestaan roboimurit käyttävät ääniohjaukseen, eli robotin voi komentaa töihin puhumalla sille. Ja kaiuttimesta robotti kertoo puolestaan ongelmista sekä mm. siivouksen päättymisestä.
Nyt hyökkääjät ovat päässeet sisään Ecovacsin laitteiden älypuhelinsovellukseen - ja ovat sen kautta voineet tarkkailla koteja robottien kameran ja mikrofonin avulla.
Murtautujat olisivat kenties jääneet huomaamatta, mutta ainakin joissain tapauksissa murtautuja on alkanut huutelemaan rasistisia herjoja robotin kaiuttimen kautta kodissa oleville asukkaille.
Tutkijoiden mukaan kyseessä ei ole Giesen löytämän aukon hyväksikäytöstä eli syylliset eivät ole murtautuneet robottiin itseensä, vaan sen älypuhelinsovellukseen. Lisäksi murtautumisia on tehty maantieteellisesti eri paikoissa, ajallisesti hyvin lähellä toisiaan - eli murtautuminen Bluetoothin yli ei olisi mahdollista (Bluetoothin kantama on vain 100 metriä).
Yhdelle urhille Ecovacsin edustaja kertoi, että kyseessä on todennäköisimmin vuodetuilla käyttäjätunnuksilla tapahtunut sisäänkirjautuminen. Eli uhrit ovat käyttäneet samaa käyttäjätunnusta ja salasanaa useilla eri sivustoilla ja useissa eri palveluissa. Joku näistä palveluista (ei siis Ecovacsin sovellus) on joutunut jossain vaiheessa tietomurron kohteeksi ja sieltä saadut käyttäjänimet ja salasanat ovat levinneet rikollisten käsiin. Rikolliset sitten kokeilevat kyseisiä käyttäjätunnuksia sadoissa eri palveluissa, koettaen josko joku onneton käyttäisi samoja tunnuksia useammassa palvelussa - ja aina toisinaan tärppää.
Kyseessä ei siis olisi varsinaisesti Ecovacsin vika, vaan tietoturvastaan heikosti huolehtivan käyttäjän / robotin omistajan vika.
Me ja tietoturva-ammattilaiset suosittelevat käyttämään salasanojen hallintaohjelmistoja, kuten Bitwardenia tai 1Passwordia salasanojen tallettamiseen. Näin salasanoista voi tehdä täysin sattumanvaraisia ja erilaisia jokaiseen palveluun, eikä niitä tarvitse koskaan edes koettaa muistaa itse.
Paras tapa varmistua siitä, ovatko ovat käyttäjätunnukset joskus vuotaneet jostain, on tarkistaa tilanne Have I Been Pwned -sivulta. Sivusto on luotettava ja sinne uskaltaa syöttää oman sähköpostiosoitteensa.