Robot hút bụi có thể bị hack để nhìn lén trong nhà

Nếu hacker tấn công qua kết nối Bluetooth và xâm nhập thành công vào hệ thống, chủ nhân máy hút bụi có thể bị theo dõi và nhìn lén qua micro, camera.

Đầu tháng 8, các nhà nghiên cứu bảo mật đã cảnh báo về một loạt lỗ hổng bảo mật trong robot hút bụi và máy cắt cỏ do Ecovacs sản xuất. Chúng có thể bị hacker chiếm quyền kiểm soát, sau đó theo dõi người dùng thông qua micro và camera của thiết bị.

Cụ thể, lỗ hổng này do 2 nhà nghiên cứu bảo mật Dennis Giese và Braelynn tìm thấy. Khi phân tích một số sản phẩm của Ecovacs, họ đã phát hiện nguy cơ chúng bị lợi dụng để hack robot thông qua Bluetooth, sau đó lén lút bật micro, camera từ xa. Giese khẳng định: “Bảo mật của họ thực sự rất tệ”.

Theo các nhà nghiên cứu, bất kỳ ai sử dụng điện thoại đều có thể kết nối và điều khiển robot Ecovacs qua Bluetooth từ khoảng cách 130 m. Một khi tin tặc chiếm quyền kiểm soát thiết bị, họ có thể giám sát robot từ mọi nơi vì chúng được kết nối với Internet thông qua Wi-Fi.

Song, việc chiếm quyền điều khiển Bluetooth chỉ là một trong nhiều lỗ hổng được Giese và Braelynn phát hiện. Một lỗ hổng khác là dữ liệu người dùng và mã thông báo xác thực lưu trên robot vẫn còn trên máy chủ đám mây của Ecovacs, ngay cả khi người dùng xóa tài khoản. Điều này đồng nghĩa với việc bất kỳ ai cũng có thể truy cập vào dữ liệu máy hút bụi và theo dõi người chủ cũ.

Các nhà nghiên cứu cho biết khi robot Ecovacs bị xâm nhập, nếu thiết bị đó nằm trong phạm vi phủ sóng của các robot Ecovacs khác thì những thiết bị đó cũng có thể bị hack.

Nói với TechCrunch, Ecovacs cho biết các lỗ hổng được các nhà nghiên cứu tìm thấy “rất hiếm gặp trong nhu cầu sử dụng thông thường”. Việc khai thác các lỗ hổng này cũng yêu cầu những công cụ hack chuyên dụng, quyền truy cập vật lý vào thiết bị. “Người dùng có thể yên tâm và không cần phải lo lắng quá mức về điều này”, hãng tuyên bố vào thời điểm đó.

Sau đó 2 tuần, trong tuần qua Ecovacs “quay xe”. Hãng nói với các nhà nghiên cứu và TechCrunch rằng sẽ sửa lỗ hổng bảo mật này. “Chúng tôi đã xác minh và kiểm tra hệ thống. Chúng tôi đã xác định được một số lỗ hổng cần cải thiện”, Martin Ma, giám đốc ủy ban bảo mật của Ecovacs, nói với TechCrunch.

Trong email gửi đến chuyên gia bảo mật Giese vào ngày 16/8, Martin Ma nói rằng nghiên cứu của họ “đã thu hút sự chú ý của ông”. Đó là lý do Ma yêu cầu nhóm bảo mật Ecovacs truy lại các cảnh cáo nhóm nghiên cứu đã gửi trước đó. Vị giám đốc nói rằng công ty “vô tình bỏ qua” email của các nhà nghiên cứu từ tháng 12/2023.

“Chúng tôi đã xem xét cẩn thận các điểm mà bạn nêu trong các email trước đó, đồng thời xác minh và kiểm tra hệ thống”, Ma nói. Ông cũng cho biết công ty sẽ khắc phục các vấn đề trong 2 mẫu Ecovacs Goat G1 và X1, cũng như ứng dụng Ecovacs.