I robot aspirapolvere sono utili e, ammettiamolo, anche carini… ma li considereremmo ancora tali se si mettessero a spiarci e a insultarci in seguito ad attacchi hacker?
Immaginate di starvi rilassando nel vostro salotto, davanti alla televisione, quando il vostro robottino aspirapolvere, invece di fare il suo lavoro o di andare a ricaricarsi, comincia a lanciarvi contro insulti. Sembra uno scenario da film fantascientifico (o dell’orrore), ma per Daniel Swenson, un avvocato del Minnesota, questo è un fatto accaduto veramente.
Un hacker non ancora identificato è riuscito infatti a introdursi in molti sistemi Ecovacs, tra cui il robot aspirapolvere Deebot X2s, e “parlare” tramite gli altoparlanti del robottino. Uno di questi appartenente a Swenson, che aveva prima dell’incidente notato delle anomalie nell’applicazione per smartphone della Ecovacs.
Swenson, ritenendo si trattasse di un semplice bug nell’applicazione, cambiò per sicurezza la password e pensò di aver chiuso lì la faccenda. Nulla di più sbagliato: pochi secondi dopo, il robot riprese vita e cominciò a urlare oscenità razziste.
“Ho avuto l’impressione che a parlare fosse un bambino, forse un adolescente”, ha detto Swenson. “Forse stavano solo saltando da un dispositivo all’altro per prendere in giro le famiglie”.
Nonostante l’incidente, Swenson è grato che gli hacker abbiano annunciato la loro presenza in maniera così plateale, in quanto sarebbe potuto andare molto peggio. I robot Ecovacs sono dotati di telecamera e microfono, rendendoli a tutti gli effetti delle piccole spie nel caso dovessero cadere nelle mani sbagliate.
Il caso non è isolato
L’incidente accaduto a casa Swenson non è stato un caso isolato. Infatti, diverse famiglie residenti negli Stati Uniti hanno segnalato episodi di hacking simili a distanza di pochi giorni l’uno dall’altro.
Il 24 maggio, lo stesso giorno in cui gli hacker hanno violato il dispositivo di Swenson, un altro attacco ha preso di mira un Deebot X2, che ha cominciato a inseguire il cane del suo proprietario nella sua casa di Los Angeles. Anche in questo caso, gli hacker stavano manipolando il robot da remoto e dai suoi altoparlanti provenivano commenti offensivi.
Che i robot prodotti da Ecovacs e l’applicazione per smartphone che li controlla non siano sicuri al 100% è un fatto risaputo dai ricercatori di sicurezza, che sei mesi prima dell’incidenti avevano tentato di informare la casa produttrice. In particolare, la falla più grave era insita nel connettore Bluetooth, che consentiva l’accesso completo all’Ecovacs X2 da oltre 100 metri di distanza. Tuttavia, data la natura distribuita degli incidenti del 24 maggio, è improbabile che gli hacker abbiano sfruttato la vulnerabilità del sistema Bluetooth.
È più probabile che questi abbiano abusato di una vulnerabilità nel sistema di “sicurezza” che protegge le capacità audio e video del robot, oltre che quella di controllo remoto. Secondo i ricercatori, è probabile che gli hacker abbiano preso di mira proprio queste vulnerabilità per effettuare i loro attacchi distribuiti.
Stavolta è colpa del codice PIN
Naturalmente, in seguito all’incidente, Swenson ha presentato un reclamo a Ecovacs. Dopo un po’ di botta e risposta con l’azienda, i tecnici hanno riferito di aver identificato l’indirizzo IP del colpevole e lo di averlo disabilitato per impedire ulteriori accessi.
Scopri anche i Robot intelligenti Dyson per la tua casa da questo link
Secondo Ecovacs, l’attacco ai robot è avvenuto tramite una tecnica chiamata “credential stuffing“. Questo avviene quando qualcuno riutilizza lo stesso nome utente e la stessa password su più siti web e la combinazione viene rubata in un attacco informatico separato.
Tuttavia, ai ricercatori di sicurezza questa affermazione puzza di bruciato. Anche se Swenson avesse usato lo stesso nome utente e la stessa password su altri siti, e se queste credenziali fossero trapelate online, non sarebbe stato comunque sufficiente per accedere al video o per controllare il robot a distanza.
Queste funzioni dovrebbero essere protette da un PIN a quattro cifre. Un sistema di sicurezza molto debole, che una coppia di ricercatori ha dimostrato di poter essere facilmente aggirato durante una conferenza di hacking nel dicembre dell’anno scorso.
I due ricercatori, Dennis Giese e Braelynn Luedtke, hanno mostrato come il fosse l’applicazione per smartphone a controllare il codice PIN, anziché il server dell’azienda o il robot. Ciò significa che chiunque possegga le conoscenze tecniche potrebbe aggirare completamente questo tipo di controllo.
In seguito alla conferenza, Ecovacs aveva dichiarato di aver risolto la falla di sicurezza, ma secondo Giese la correzione non era sufficiente per colmare la lacuna di sicurezza presente nei dispositivi.
- Giuliani, Luca (Autore)
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
📱 Arm vuole cancellare la licenza a Qualcomm: in bilico il futuro degli smartphone Android
🔫 Call of Duty: Black Ops 6 vietato in Kuwait: la Guerra del Golfo è ancora un tema delicato
🌗 La serra made in Italy per coltivare anche sulla Luna
🏴☠️ Stop alla pirateria, stop anche a Google: la Serie A blocca Drive (per sbaglio)
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
