ABD’deki çok sayıda robot elektrikli süpürge, yerleşik hoparlörler aracılığıyla müstehcen sözler ve hakaretler bağırmak üzere saldırıya uğradı.
ABC haberleri, Çin’de üretilen Ecovacs Deebot X2 tipi robot elektrikli süpürgelerdeki bu saldırıya ilişkin raporları doğrulayabildi. Ecovacs, lider hizmet robotu markası olarak kabul ediliyor ve robot süpürgelerde pazar lideridir.
Kurbanlardan biri olan Minnesotalı avukat Daniel Swenson, elektrikli süpürgesinden gelen sese benzeyen ses parçaları duyduğunu söyledi. Ecovacs uygulaması aracılığıyla, evinde olmayan birinin elektrikli süpürgenin canlı kamera yayınına ve uzaktan kumanda özelliğine eriştiğini gördü.
Bunun bir aksaklık olduğunu düşünerek elektrikli süpürgeyi yeniden başlattı ve güvenli tarafta olmak için şifreyi sıfırladı. Ancak bunun uzun süre faydası olmadı. Elektrikli süpürge neredeyse anında yeniden hareket etmeye başladı.
Ancak bu sefer elektrikli süpürgeden gelen ses yüksek ve netti ve Swenson ve ailesine ırkçı küfürler bağırıyordu. Swenson’a göre ses bir ergeninkine benziyordu.
Swenson, elektrikli süpürgeyi kapattığını ve bir daha açılmamak üzere garaja attığını söyledi.
Bu durum yeterince kötü görünse de, çok daha kötü olabilirdi. Ya bilgisayar korsanları sessiz kalıp kurbanın ailesini gözetlemeye karar verseydi? 2020 yılında, Roomba elektrikli süpürgeyle çekilen ve tuvalette oturan bir kadının fotoğrafının Facebook’ta paylaşıldığı Lock & Code podcast’imizde böyle bir olaydan bahsetmiştik.
Birkaç gün içinde ABD’de Ecovacs Deebot X2’nin dahil olduğu çeşitli benzer olaylar bildirildi. Ve Swenson’ın Ecovacs’ın ABD temsilcisiyle birkaç kez görüşmesine rağmen yanıt ne olduğunu açıklamıyordu.
Ecovacs temsilcisi, kurbanın kimlik bilgilerinin bilgisayar korsanı tarafından ele geçirildiğini ve saldırganın diğer sitelerdeki ihlallerde elde edilen oturum açma bilgilerini başka bir siteye (bu durumda Ecovacs’a) giriş yapmak için kullandığı bir kimlik bilgisi doldurma saldırısında kullanıldığını iddia etti.
Ancak bu mantıklı değildi çünkü geçerli bir şifre olsa bile saldırganın video akışına erişememesi veya robotu uzaktan kontrol edememesi gerekirdi. Bu özelliklerin dört haneli bir pin numarasıyla korunması gerekiyor.
Ancak 2023 yılında iki güvenlik araştırmacısı bu korumayı atlatacak bir yöntem gösterdi. Pin korumasının zayıflığı, uygulamanın, PIN’in sunucuda veya robotun kendisi tarafından kontrol edilmediği tek yer olmasıdır. Yani üzerinde uygulama bulunan cihazın kontrolü sizdeyse ve gerekli teknik bilgiye sahipseniz, cihazın sunucuya doğru pini girdiğinizi belirten bir sinyal göndermesini sağlayabilirsiniz.
Ecovacs bu kusuru düzelttiğini iddia etse de, kusuru açıklayan bilgisayar korsanlarından biri kusurun yeterince giderilmediğini söyledi.
Aynı Ecovacs sözcüsü, şirketin, olayın ardından müşterilere şifrelerini değiştirmeleri talimatını veren “hızlı bir e-posta gönderdiğini” söyledi. Ancak Swenson, özellikle başkalarının başına gelip gelmediğini sormasına rağmen, pin kodlarıyla ilgili sorunla ilgili herhangi bir iletişim almadığını söylüyor.
Ecovacs, ABC News’e, X2 serisinin sahipleri için Kasım ayında bir güvenlik yükseltmesi yayınlayacağını söyledi. Bu gerçekleşene kadar Swenson’ın yaptığının aynısını yapıp elektrikli süpürgeyi kapatmak isteyebilirsiniz.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.