Lỗ hổng bảo mật trên robot hút bụi Ecovacs, hacker tận dụng để lăng mạ, chửi thề

Trong những ngày cuối tháng 5 năm 2024, nhiều chủ sở hữu robot hút bụi Ecovacs Deebot X2 tại Mỹ đã báo cáo về việc thiết bị của họ bị mất kiểm soát trái phép. Những kẻ tấn công không chỉ điều khiển robot di chuyển tự do trong nhà nạn nhân mà còn sử dụng loa của thiết bị để phát ra những lời lẽ tục tĩu, lăng mạ, thậm chí là phân biệt chủng tộc.

Một trong những nạn nhân là luật sư Daniel Swenson ở Minnesota cho biết, robot của anh đã bị kẻ lạ truy cập vào camera và điều khiển từ xa. Mặc dù đã đặt lại mật khẩu và khởi động lại thiết bị, robot vẫn tiếp tục bị kiểm soát và phát ra những lời lẽ xúc phạm ngay trước mặt con trai 13 tuổi của anh. Các sự cố tương tự cũng được ghi nhận tại Los Angeles và El Paso, cho thấy quy mô tấn công không hề nhỏ.

*Thử nghiệm của Australian Broadcasting Corporation*

Điều đáng nói là các nhà nghiên cứu bảo mật đã phát hiện và cảnh báo Ecovacs về những lỗ hổng bảo mật nghiêm trọng trong robot hút bụi Deebot X2 từ tháng 12 năm 2023.

Lỗ hổng nghiêm trọng nhất nằm ở bộ kết nối Bluetooth, cho phép kẻ tấn công truy cập và kiểm soát hoàn toàn thiết bị từ khoảng cách hơn 100 mét. Ngoài ra, hệ thống mã PIN bảo vệ nguồn cấp dữ liệu video và tính năng điều khiển từ xa cũng được xác định là có thể bị bypass dễ dàng.

*Hình ảnh được ghi lại từ camera của robot hút bụi Ecovacs trong một cuộc tấn công mạng. (Nguồn: ABC News)*

Phản hồi của Ecovacs

Ecovacs cho biết họ đã tiến hành điều tra bảo mật và “không tìm thấy bằng chứng” cho thấy các tài khoản bị hack thông qua “bất kỳ vi phạm nào đối với hệ thống của Ecovacs”. Thương hiệu này cho rằng các tài khoản có thể đã bị xâm nhập do nạn nhân sử dụng chung mật khẩu với các trang web khác đã bị rò rỉ thông tin.

Tuy nhiên, các chuyên gia bảo mật cho rằng ngay cả khi thông tin đăng nhập bị lộ, kẻ tấn công vẫn cần vượt qua lớp bảo vệ mã PIN để kiểm soát robot. Điều này cho thấy lỗ hổng bảo mật trong hệ thống của Ecovacs mới là nguyên nhân chính dẫn đến các vụ tấn công.

*Khả năng theo dõi qua camera của Ecovacs Deebot X2 Combo*

Ecovacs tuyên bố đã khắc phục lỗ hổng bảo mật và sẽ phát hành bản nâng cấp bảo mật cho dòng Deebot X2 vào tháng 11. Tuy nhiên, các nhà nghiên cứu bảo mật cho rằng bản vá của công ty chưa đủ để giải quyết triệt để vấn đề.

Sự cố này gióng lên hồi chuông cảnh báo về an ninh mạng của các thiết bị IoT, đặc biệt là những thiết bị có camera và micro, có thể xâm phạm nghiêm trọng đến quyền riêng tư của người dùng. Người dùng cần nâng cao ý thức bảo mật, sử dụng mật khẩu mạnh và khác nhau cho từng tài khoản, đồng thời cập nhật phần mềm thường xuyên để hạn chế rủi ro bị tấn công.

Các nhà sản xuất thiết bị IoT cần ưu tiên bảo mật ngay từ giai đoạn thiết kế và sản xuất, đồng thời phản hồi nhanh chóng và minh bạch trước các cảnh báo về lỗ hổng bảo mật.