Mới đây, theo Techcrunch, một phát hiện nghiêm trọng đã được công bố khi các nhà nghiên cứu bảo mật Dennis Giese và Braelynn chỉ ra rằng, các robot hút bụi và cắt cỏ của hãng Ecovacs có thể bị hacker chiếm quyền kiểm soát. Qua đó, hacker có khả năng theo dõi người dùng bằng cách sử dụng camera và micro tích hợp trong thiết bị một cách dễ dàng mà không bị phát hiện.
Trong quá trình phân tích nhiều sản phẩm của Ecovacs, họ phát hiện một số vấn đề có thể bị lợi dụng để hack robot thông qua Bluetooth và bí mật kích hoạt micro và camera từ xa.
"Theo dõi người dùng qua các thiết bị robot gia dụng có thể trở nên dễ dàng khi chúng ta phát hiện ra lỗ hổng bảo mật nghiêm trọng trên các sản phẩm của Ecovacs," Giese chia sẻ với TechCrunch. Ông còn nhấn mạnh rằng, độ bảo mật của các thiết bị này "thực sự rất kém."
Giese và Braelynn đã cố gắng liên hệ với Ecovacs để báo cáo về các lỗ hổng bảo mật này nhưng không nhận được phản hồi. Họ tin rằng các lỗ hổng vẫn chưa được khắc phục và có thể bị khai thác bởi hacker.
Điểm yếu chính mà các nhà nghiên cứu phát hiện là lỗ hổng cho phép bất kỳ ai sử dụng điện thoại kết nối và chiếm quyền kiểm soát robot Ecovacs qua Bluetooth từ khoảng cách xa tới 130 mét. Khi hacker đã chiếm quyền kiểm soát thiết bị, họ có thể kết nối từ xa với robot thông qua Wi-Fi.
Giese nói thêm: "Chúng tôi có thể đọc thông tin Wi-Fi, các bản đồ lưu trữ, và thậm chí là truy cập vào camera, micro, vì chúng tôi có quyền truy cập vào hệ điều hành Linux của robot."
Một vấn đề đáng lo ngại khác là robot cắt cỏ của Ecovacs luôn bật Bluetooth, trong khi robot hút bụi chỉ bật Bluetooth trong 20 phút khi khởi động và một lần mỗi ngày khi tự động khởi động lại. Mặc dù vậy, hầu hết các robot mới của Ecovacs đều được trang bị ít nhất một camera và micro. Điều này có nghĩa là một khi hacker đã chiếm quyền kiểm soát, họ có thể biến robot thành công cụ gián điệp. Theo các nhà nghiên cứu, không có đèn báo hoặc chỉ báo phần cứng nào thông báo cho người xung quanh khi camera và micro đang hoạt động.
Trên một số mô hình, lý thuyết là có một tệp âm thanh được phát mỗi năm phút một lần thông báo rằng camera đang hoạt động, nhưng hacker có thể dễ dàng xóa bỏ tệp âm thanh đó và hoạt động một cách âm thầm, Giese lưu ý. "Bạn chỉ cần xóa hoặc ghi đè lên tệp với một tệp trống. Như vậy, cảnh báo sẽ không còn được phát khi bạn truy cập vào camera từ xa."
Ngoài rủi ro về hacking, Giese và Braelynn cũng chỉ ra các vấn đề khác với thiết bị của Ecovacs. Dữ liệu lưu trữ trên robot vẫn còn trên máy chủ đám mây của Ecovacs ngay cả sau khi xóa tài khoản người dùng. Token xác thực cũng vẫn tồn tại trên đám mây, cho phép ai đó truy cập vào robot hút bụi sau khi xóa tài khoản của họ và có khả năng theo dõi người mua robot đã qua sử dụng. Thêm vào đó, robot cắt cỏ có cơ chế chống trộm yêu cầu nhập mã PIN nếu ai đó nhấc robot lên, nhưng mã PIN lại được lưu trữ dưới dạng văn bản không mã hóa trong robot, vì vậy hacker có thể dễ dàng tìm thấy và sử dụng nó.
Giese và Braelynn đã phân tích các thiết bị sau đây của Ecovacs: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA, và Ecovacs Airbot ANDY.