--->
AfterDawn logo

Salasanavuodoen seuraus: robotti-imurit vakoilivat koteja, huutelivat rasistisia herjoja kaiuttimen kautta

Petteri Pyyny Petteri Pyyny

Uutisoimme jo pari viikkoa sitten, miten yksi maailman suurimmista robotti-imureiden valmistajista, kiinalainen Ecovacs on päästänyt robotti-imureidensa tietoturvan lipsumaan.

Tietoturva-asiantuntija, erilaisten älykkäiden laitteiden tietoturvaan keskittynyt Dennis Giese paljasti elokuussa järjestetyssä DEFCON -tapahtumassa, miten Ecovacsin uusimpiin ja kalleimpiin robotti-imureihinkin pääsee murtautumaan pelkällä kännykällä ja kaappaamaan robotin hyökkääjän käyttöön. Kikka tapahtuu Bluetoothin yli ja vaatii hyökkääjää olemaan Bluetoothin, noin 100 metrin kantaman sisällä.

Giese varoitti asiasta Ecovacsia etukäteen, mutta yhtiö ei paikannut tietoturva-aukkoa roboteistaan ja viimeisimmän tiedon mukaan mm. arvostelussammekin käynyt, yli tuhat euroa maksava Ecovacs Deebot X2 Omni saa aukon tukkivan päivityksen vasta marraskuussa.

MAINOS


Nyt Ecovacsin tuotteista on ilmeisesti löytynyt uusi, erilainen tietoturva-aukko ja sitä on alettu uutislähteiden mukaan käyttämään jo hyväksi. Australian yleisradioyhtiö ABC kertoo Ecovacsin imureiden joutuneen hakkereiden kynsiin useissa amerikkalaiskaupungeissa.

Tilanteen tekee ongelmalliseksi se, että Ecovacsin kalleimmissa malleissa, mm. X2:ssa, on kamera, mikrofoni ja kaiutin. Kameraa nykyaikaiset roboimurit käyttävät älykkääseen esteiden väistelyyn, mutta niitä markkinoidaan myös kodin turvallisuuden parantajiksi - omistaja voi kurkata kotiin roboimurin keulalla olevasta kamerasta.

Mikrofonia puolestaan roboimurit käyttävät ääniohjaukseen, eli robotin voi komentaa töihin puhumalla sille. Ja kaiuttimesta robotti kertoo puolestaan ongelmista sekä mm. siivouksen päättymisestä.

Nyt hyökkääjät ovat päässeet sisään Ecovacsin laitteiden älypuhelinsovellukseen - ja ovat sen kautta voineet tarkkailla koteja robottien kameran ja mikrofonin avulla.

Murtautujat olisivat kenties jääneet huomaamatta, mutta ainakin joissain tapauksissa murtautuja on alkanut huutelemaan rasistisia herjoja robotin kaiuttimen kautta kodissa oleville asukkaille.

Tutkijoiden mukaan kyseessä ei ole Giesen löytämän aukon hyväksikäytöstä eli syylliset eivät ole murtautuneet robottiin itseensä, vaan sen älypuhelinsovellukseen. Lisäksi murtautumisia on tehty maantieteellisesti eri paikoissa, ajallisesti hyvin lähellä toisiaan - eli murtautuminen Bluetoothin yli ei olisi mahdollista (Bluetoothin kantama on vain 100 metriä).

Yhdelle urhille Ecovacsin edustaja kertoi, että kyseessä on todennäköisimmin vuodetuilla käyttäjätunnuksilla tapahtunut sisäänkirjautuminen. Eli uhrit ovat käyttäneet samaa käyttäjätunnusta ja salasanaa useilla eri sivustoilla ja useissa eri palveluissa. Joku näistä palveluista (ei siis Ecovacsin sovellus) on joutunut jossain vaiheessa tietomurron kohteeksi ja sieltä saadut käyttäjänimet ja salasanat ovat levinneet rikollisten käsiin. Rikolliset sitten kokeilevat kyseisiä käyttäjätunnuksia sadoissa eri palveluissa, koettaen josko joku onneton käyttäisi samoja tunnuksia useammassa palvelussa - ja aina toisinaan tärppää.


Kyseessä ei siis olisi varsinaisesti Ecovacsin vika, vaan tietoturvastaan heikosti huolehtivan käyttäjän / robotin omistajan vika.

Me ja tietoturva-ammattilaiset suosittelevat käyttämään salasanojen hallintaohjelmistoja, kuten Bitwardenia tai 1Passwordia salasanojen tallettamiseen. Näin salasanoista voi tehdä täysin sattumanvaraisia ja erilaisia jokaiseen palveluun, eikä niitä tarvitse koskaan edes koettaa muistaa itse.

Paras tapa varmistua siitä, ovatko ovat käyttäjätunnukset joskus vuotaneet jostain, on tarkistaa tilanne Have I Been Pwned -sivulta. Sivusto on luotettava ja sinne uskaltaa syöttää oman sähköpostiosoitteensa.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Varo tekijänoikeusrikkomuksesta kertovaa viestiä - sisältää haittaohjelman

AfterDawn

Digita päättää maksu-tv-lähetykset antenni-tv-verkossa

AfterDawn

Trumpin tullit voivat nostaa mm. iPhonejen hintoja käsittämättömän paljon Yhdysvalloissa

AfterDawn

TikTok sai taas lisää armonaikaa Trumpilta

AfterDawn

Kiinan teknologiafirmat julkistivat kilpailijan HDMI:lle - GPMI tukee 8K-tarkkuuden kuvaa

AfterDawn

Kameran ja näytön voi nyt jakaa Gemini Livelle - tekoäly auttaa näkemänsä perusteella

Puhelinvertailu

Kotimainen pelimedia pienenee: Pelaaja-lehti lakkautetaan

AfterDawn

Trumpin tullit: Nintendo perui Switch 2 -konsolin ennakkotilaukset Yhdysvalloissa - hinta uhkaa nousta reilusti

AfterDawn

Polarnode rakentamassa Nokian kaupungin alueelle usean sadan miljoonan euron datakeskusta

AfterDawn

Powered by HIGH.FI

Powered by HIGH.FI
Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki