302/67 (IT) ประจำวันจันทร์ที่ 26 สิงหาคม 2567
นักวิจัยด้านความปลอดภัยได้เตือนถึงหุ่นยนต์ดูดฝุ่นและเครื่องตัดหญ้าของ Ecovacs สามารถถูกแฮกเพื่อสอดแนมได้ โดยในงานประชุม Def Con นักวิจัยด้านความปลอดภัย Dennis Giese และ Braelynn ได้อธิบายว่าผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในหุ่นยนต์และเครื่องตัดหญ้าของ Ecovacs เพื่อเข้าควบคุมกล้องและไมโครโฟนผ่านการเชื่อมต่อ Bluetooth โดยที่หุ่นยนต์เหล่านี้ไม่มีไฟแสดงสถานะเมื่อกล้องและไมโครโฟนทำงาน
นักวิจัยยังพบว่าผู้โจมตีที่อยู่ในรัศมี 450 ฟุต จะสามารถควบคุมหุ่นยนต์ผ่าน Bluetooth ได้ จากนั้นเข้าถึงหุ่นยนต์ผ่าน Wi-Fi เพื่อดึงข้อมูลสำคัญ เช่น รหัส Wi-Fi แผนที่ห้อง และเข้าถึงกล้องและไมโครโฟน นักวิจัยยังชี้ให้เห็นว่าหุ่นยนต์ตัดหญ้าของ Ecovacs เปิด Bluetooth ตลอดเวลา ทำให้มีความเสี่ยงสูง ส่วนหุ่นยนต์ดูดฝุ่นจะเปิด Bluetooth เป็นเวลาสั้น ๆ หลังจากเปิดเครื่องเท่านั้น
นอกจากนี้ นักวิจัยได้พบปัญหาอื่น ๆ เช่น ข้อมูลและโทเค็นการยืนยันตัวยังคงอยู่บนเซิร์ฟเวอร์ของ Ecovacs แม้ผู้ใช้จะลบบัญชีไปแล้ว ทำให้ผู้ไม่หวังดีสามารถเข้าถึงอุปกรณ์ที่ซื้อมาใช้ต่อได้ นอกจากนี้ หุ่นยนต์ตัดหญ้าของ Ecovacs ยังมี PIN ป้องกันการขโมยที่ถูกเก็บในรูปแบบข้อความที่ไม่เข้ารหัส ทำให้สามารถถูกขโมยได้ง่าย แม้ว่าในตอนแรกตัวแทนของ Ecovacs บอกว่าจะไม่แก้ไขช่องโหว่ดังกล่าว แต่ต่อมาบริษัทได้ประกาศว่าจะดำเนินการแก้ไขปัญหานี้ตามที่นักวิจัยค้นพบ
แหล่งข่าว https://securityaffairs.com/167508/hacking/researchers-hacked-ecovacs-devices.html
