Хакеры могут следить за пользователями через «умные» пылесосы

Хакеры могут следить за пользователями через «умные» пылесосы

Злоумышленники могут получить удаленный доступ к камерам пылесосов и следить за происходящим в доме жертвы.

Специалисты израильской компании Checkmarx обнаружили в смарт-пылесосах Trifo Ironpie M6 уязвимости, позволяющие получать к ним удаленный доступ посторонним лицам.

Пылесосы Ironpie M6 подключаются к интернету через Wi-Fi. Пользователи могут управлять ими удаленно с помощью Android-приложения и через встроенную камеру следить за процессом уборки. Вся система поддерживается конечным сервером. Однако, несмотря на удобство, Ironpie M6 представляет угрозу приватности пользователей.

Возможность включать камеру удаленно через интернет привлекла внимание специалистов Checkmarx. В ходе исследования они обнаружили уязвимости и ошибки в коде. Android-приложение Trifo Home оказалось «преимущественно безопасным», за исключением одного – механизма обновления. Приложение получает обновления не стандартным способом через Google Play Store, а через HTTP-запрос к серверу. Злоумышленник может с легкостью отследить и подменить запрос таким образом, чтобы приложение получило вредоносное обновление.

Также были выявлены проблемы с соединением между пылесосом, сервером и приложением. Как оказалось, Ironpie M6 подключается к MQTT-серверам с помощью незашифрованного соединения, которое становится зашифрованным только при подключении. Этот пробел в шифровании позволяет злоумышленникам вычислить идентификатор любого клиента в системе, позволяющий получить контроль над пылесосом. В таком случае злоумышленник может получить доступ к камере пылесоса и следить за происходящим в доме жертвы.

Обнаружив уязвимости, исследователи сразу же уведомили о них производителя, однако компания Trifo проигнорировала сообщение.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!