Пользователи роботов-пылесосов Ecovacs Deebot X2 из нескольких городов США сообщили, что их устройства взломали. Хакеры смогли управлять устройствами, а через динамики пылесосов они транслировали расистские оскорбления, повергая владельцев в шок. Эти инциденты выявили серьёзные уязвимости в системах безопасности современных умных устройств и поставили под угрозу конфиденциальность пользователей.
Дэниел Свенсон (Daniel Swenson), адвокат из Миннесоты, столкнулся с проблемами в работе своего робот-пылесоса, когда устройство начало издавать странные звуки, похожие на прерывистый радиосигнал. Заглянув в мобильное приложение Ecovacs, он увидел, что неизвестный получил доступ к камере робота и функции дистанционного управления. Сначала Свенсон решил, что это всего лишь технический сбой, и сменил пароль, перезагрузив устройство. Однако вскоре пылесос вновь начал движение, и из его динамиков раздались громкие расистские оскорбления.
24 мая в Лос-Анджелесе был зафиксирован схожий инцидент. Взломанный робот-пылесос Ecovacs Deebot X2 начал преследовать собаку владельцев, в то время как хакеры, управляя устройством на расстоянии, выкрикивали оскорбления через его динамики. Пять дней спустя, в Эль-Пасо, был взломан ещё один робот-пылесос Ecovacs, и из его динамиков снова раздались расистские оскорбления. Владелец был вынужден отключить устройство от сети, чтобы прекратить происходящее. События, развернувшиеся в течение нескольких дней, вызвали тревогу среди пользователей и экспертов по кибербезопасности.
Шестью месяцами ранее исследователи по кибербезопасности предупреждали компанию Ecovacs о критических уязвимостях в их устройствах. В частности, они обнаружили проблему с беспроводным соединением, которая позволяла злоумышленникам управлять пылесосами с расстояния до 100 метров. Несмотря на эти предупреждения, компания не предприняла необходимых мер, что и привело к массовым взломам в мае этого года.
После инцидента Дэниел Свенсон обратился в службу поддержки Ecovacs, но его запрос был встречен недоверием. Представитель компании несколько раз спрашивал, существует ли видеозапись произошедшего, хотя Свенсон настаивал, что его больше беспокоит сам факт взлома и нарушение конфиденциальности. Такое отношение заставило его задуматься, пытается ли компания скрыть истинные масштабы проблемы.
В декабре 2023 года исследователи по безопасности Деннис Гизе (Dennis Giese) и Брейлин Людтке (Braelynn Luedtke) публично представили доказательства уязвимости PIN-кода в роботах Ecovacs. Они подчеркнули, что проверка PIN-кода выполнялась только на уровне приложения, а не на сервере или устройстве, что позволяло злоумышленникам легко обойти защиту умного пылесоса. Компания заявила, что эта уязвимость была исправлена, однако эксперты полагают, что предпринятых мер оказалось недостаточно.