ECOVACS製ロボットをハッキングして家の中をリアルタイムで監視できる脆弱性はまだ修正されていない

2024年8月に発表されたECOVACS製ロボットをハッキングできる脆弱(ぜいじゃく)性が一部のモデルではまだ修正されておらず、ハッキング可能な状態が続いているとオーストラリアの公共ニュース配信サービスのABC Newsが報じました。

We hacked a robot vacuum — and could watch live through its camera - ABC News
https://www.abc.net.au/news/2024-10-04/robot-vacuum-hacked-photos-camera-audio/104414020

2024年8月にラスベガスで行われたセキュリティイベントのDEF CONにおいて、セキュリティ研究者のデニス・ギース氏とブレイリン氏がECOVACS製ロボットに存在している脆弱性について発表しました。

ECOVACS製ロボットにハッキングされて所有者をスパイできる脆弱性があると研究者が発表 - GIGAZINE

ギース氏は発表に先立ち、2023年12月にECOVACSに対し「遠隔操作で実行できる重大なセキュリティ上の欠陥を発見した」と伝えていました。しかしECOVACSからの返答はなく、脆弱性も修正されませんでした。「2024年8月に脆弱性の存在を公表して初めてECOVACSが対応を始めたように見える」とギース氏は述べています。

実際、公表された脆弱性に対しECOVACSはハッキングが物理的なアクセスを必要とする点から「ユーザーはこれについて過度に心配する必要はないので安心してください」と述べ、「研究者らが発見した欠陥は修正しない」と返答しました。

一方ギース氏は「ロボットに物理的に接続したり、ロボットを分解して内部にアクセスするのとは違い、近くからBluetooth経由でデータを送信するだけでハッキングできるため特にデリケートな問題」と述べています。

ギース氏は具体的なハッキングのやり方を公表していないため、ABC Newsはギース氏の協力の元で実証実験を行いました。ターゲットとなるロボット掃除機を4階に設置し、建物の前の公園からBluetoothで接続してハッキングを行います。

一度ハッキングが完了すると次回以降は世界中のどこからでもロボット掃除機のデータにアクセス可能になるとのこと。

ECOVACS製のロボット掃除機にはカメラが使用中であることを示すインジケーターが付いていますが、このインジケーターは公式アプリからアクセスした際には動作するもののハッキングされた時には動作しないとのこと。そのため、ハッカーは相手に気付かれずにカメラの映像を見ることが可能です。

ECOVACSは最終的にこの脆弱性を修正することに決定。「ECOVACSは常に製品とデータのセキュリティ、そして消費者のプライバシー保護を最優先に考えてきた」「当社の既存製品は日常生活において高いレベルの安全性を提供し、消費者がエコバックスの製品を安心して使用できることをお客様に保証します」と述べています。

修正のアップデートは順次展開されており、今回実証実験に使用されたDeebot X2のパッチは2024年11月に行われる予定とのことです。