Ecovacsilta vastine robotti-imureiden tietoturvakohuun

Kiinalainen Ecovacs on ollut kahdenkin eri kohun keskellä viime viikkoina. Kohut on tarpeettomasti niputettu monissa medioissa samaan pakettiin, vaikka kyse on mitä ilmeisimmin täysin eri asioista.

Ensimmäinen kohu syntyi siitä, että Ecovacsin robotti-imureista löytyi tietoturva-aukko, jota yhtiö ei paikannut varoituksista huolimatta.

Toinen, Suomenkin mediassa levinnyt meteli nousi siitä, kun yhtiön robotti-imurit olivat huudelleet rasistisia herjoja ihmisten kodeissa.

Jälkimmäinen kohu on mitä ilmeisimmin robottien käyttäjien omaa huolimattomuutta aiheutettu: ihmiset ovat käyttäneet samoja käyttäjätunnuksia ja salasanoja useilla eri sivustoilla ja useissa eri palveluissa. Jokin niistä on sitten joutunut tietoturvavuodon kohteeksi ja käyttäjien salasanat ovat vuotaneet verkkoon.

Sitten hakkerit ovat yksinkertaisesti kokeilleet vuodettuja käyttäjätunnuksia eri palveluihin - ja todenneet, että ainakin osalla niistä pääsee sisään ihmisten robotti-imureiden hallintasovellukseen.

Mutta se alkuperäinen tietoturva-aukko on tavallaan vakavampi, koska sille tavallinen kuluttaja ei voi tehdä juuri mitään. Ja tähän liittyen Ecovacs lähetti meille virallisen vastineensa.

Yhtiön mukaan tietoturvatutkija Dennis Giesen löytämä tietoturva-aukko ei vaaranna kuluttajien turvallisuutta juurikaan. Tärkeimmäksi syyksi Ecovacs mainitsee sen, että aukon hyödyntäminen vaatii tiettyjä toimia, joihin kenellä tahansa ei ole mahdollisuutta.

Ensinnäkin, tietoturva-aukko vaatii sen, että Ecovacsin tuote asetetaan sellaiseen tilaan, että se alkaa etsimään uutta verkkoyhteyttä. Tämä vaatii sen, että robottiin pitää päästä fyysisesti käsiksi - eli hyökkääjän pitää pystyä painamaan laitteessa olevaa konkreettista nappia, jotta hyökkäystä voi edes valmistella.

Napin painamisen jälkeen hyökkääjällä on vain 20 minuuttia aikaa ottaa laitteeseen Bluetooth-yhteys. Mikäli yhteyttä ei muodosteta 20 minuutin aikana, robotti lakkaa etsimästä uutta verkkoa - ja hyökkääjän pitäisi pystyä painamaan robotin fyysisiä nappeja uudestaan.

Ja vaikka edellämainittu onnistuisikin, hyökkäys vaatii syvällisempää tuntemusta BLE-protokollan toiminnasta sekä robotin laiteohjelmiston (firmware) toiminnan ymmärrystä.

Yhtiö myös painottaa sitä, että Giesen havaintojen jälkeen se ryhtyi paikkaamaan aukkoja sen laitteissaan. Osaan tuotteista paikkaus julkaistiin jo elokuussa, hieman sen jälkeen kun Giese oli esitellyt tietoturva-aukkoa DEFCON-hakkeritapahtumassa - joskin Giese oli ottanut Ecovacsiin yhteyttä aukkoon liittyen jo tätä ennen.

Lisäksi Ecovacs kertoo aikaistaneensa päivitysten jakelua mm. Ecovacs Deebot X2 ja Ecovacs Deebot T20 robotti-imureiden osalta ja jakelee paikkauksen jo lokakuuss 2024 näille malleille.

Ecovacsin tiedote on laadittu yhteistyössä tietoturva-aukon löytäneen Giesen kanssa.

• ECOVACS
• robotti-imuri
• tietoturva-aukko