Les Risques Cachés des Aspirateurs Robots
En résumé :
Votre aspirateur robot pourrait être un espion déguisé. Des chercheurs ont mis en lumière des vulnérabilités de sécurité Bluetooth inquiétantes dans certains robots nettoyeurs et tondeuses autonomes, permettant aux hackers de prendre le contrôle de ces appareils équipés de caméras. Cela leur donne un accès direct à votre domicile.
Découverte des Vulnérabilités
Les chercheurs en sécurité, Dennis Giese et Braelynn, ont identifié une série de failles dans les robots nettoyeurs de la marque Ecovacs, permettant à des individus malveillants de prendre le contrôle des appareils via Bluetooth à une distance allant jusqu’à 137 mètres. Une fois le contrôle établi, les hackers peuvent se connecter à Internet pour un accès à distance complet. Les résultats de cette recherche seront présentés lors de la conférence de hacking Def Con de cette année.
Une Sécurité Défaillante
« Leur sécurité était vraiment, vraiment, vraiment, vraiment médiocre », a déclaré Giese à TechCrunch. Selon le rapport, le cœur du problème réside dans une vulnérabilité qui permet aux hackers de se connecter à un robot Ecovacs via Bluetooth. Giese explique que les hackers peuvent envoyer un petit code qui établit instantanément une connexion avec leur ordinateur. À partir de là, ils peuvent ordonner au robot compromis de se connecter à un serveur sur Internet, ce qui leur donne un contrôle à distance sur l’appareil.
Accès Illimité aux Données
Une fois qu’ils ont accès, les hackers peuvent exploiter les caméras, les microphones, les identifiants Wi-Fi enregistrés, les plans des pièces et bien plus encore. Les robots piratés peuvent même propager l’attaque à d’autres appareils Ecovacs à proximité. Pire encore, il n’y a aucun indicateur lumineux ou autre signal lorsque les caméras et les microphones sont activés. Bien que certains modèles disposent d’une alerte sonore, les hackers peuvent facilement désactiver cette fonction.
Modèles Affectés
Plus de dix modèles d’aspirateurs et de tondeuses sont concernés, y compris les séries Ecovacs Deebot 900, Ecovacs Deebot N8/T8 et Ecovacs Deebot X1.
Problèmes de Confidentialité
Les chercheurs ont également découvert d’autres problèmes préoccupants, tels que des données utilisateur et des jetons d’authentification qui persistent sur le cloud de l’entreprise même après la suppression d’un compte. Ainsi, un hacker pourrait potentiellement accéder à un robot usagé pour espionner le nouveau propriétaire. Pour aggraver la situation, certains modèles de tondeuses stockent un code PIN anti-vol en texte clair sur l’appareil !
Manque de Réaction de la Part d’Ecovacs
Giese et Braelynn ont tenté de signaler ces problèmes à Ecovacs de manière responsable, mais affirment n’avoir jamais reçu de réponse de la part de l’entreprise. Au 9 août, les vulnérabilités étaient toujours exploitables.
