Trong những tháng đầu năm nay, một loạt sự cố đáng báo động đã xảy ra với robot hút bụi Ecovacs Deebot X2 Omni tại nhiều thành phố ở Hoa Kỳ. Những kẻ tấn công đã sử dụng các thiết bị này để quấy rối thú cưng và thậm chí còn buông những lời lẽ phân biệt chủng tộc đối với chủ nhân của chúng.
Hàng loạt vụ tấn công qua Ecovacs Deebot X2 tại Mỹ
Một trong những nạn nhân đáng chú ý là luật sư Daniel Swenson ở Minnesota. Anh kể lại rằng trong lúc đang xem TV cùng gia đình, robot hút bụi của anh bỗng phát ra những âm thanh lạ từ loa. Ban đầu, âm thanh nghe giống như "tín hiệu radio bị đứt quãng", nhưng sau khi thiết bị được khởi động lại và đặt lại mật khẩu, nó bắt đầu phát ra giọng nói rõ ràng - có vẻ là của một thiếu niên - đang hét lên những lời lẽ xúc phạm.
Điều đáng lo ngại là ngay cả khi đã thực hiện các biện pháp bảo mật, robot vẫn tiếp tục bị kiểm soát và phát ra những lời lẽ không phù hợp trước mặt người con trai 13 tuổi của anh Swenson.
Các sự cố tương tự cũng được ghi nhận tại Los Angeles và El Paso, cho thấy quy mô của cuộc tấn công không hề nhỏ. Trong một trường hợp, kẻ tấn công thậm chí còn sử dụng Deebot để quấy rối một con chó bằng cách hét vào nó và đuổi theo nó xung quanh nhà.
Lỗ hổng bảo mật nghiêm trọng
Điều đáng nói là các nhà nghiên cứu bảo mật đã phát hiện và cảnh báo Ecovacs về những lỗ hổng bảo mật nghiêm trọng trong robot hút bụi Deebot X2 từ tháng 12/2023.
Lỗ hổng nghiêm trọng nhất nằm ở bộ kết nối Bluetooth, cho phép kẻ tấn công truy cập và kiểm soát hoàn toàn thiết bị từ khoảng cách hơn 100 mét. Ngoài ra, hệ thống mã PIN bảo vệ nguồn cấp dữ liệu video và tính năng điều khiển từ xa cũng được xác định là có thể bị bypass dễ dàng.
Phản ứng của Ecovacs và kế hoạch nâng cấp bảo mật
Đối mặt với tình huống này, Ecovacs đã phát hành một tuyên bố cho ABC News, xác nhận rằng họ đã "xác định được sự kiện tấn công bằng thông tin đăng nhập" và đã chặn địa chỉ IP nguồn. Công ty cũng khẳng định "không tìm thấy bằng chứng" về việc kẻ tấn công thu thập tên người dùng và mật khẩu.
Ecovacs cũng xác nhận đã giải quyết vấn đề bypass mã PIN và công bố kế hoạch "tăng cường bảo mật hơn nữa" với một bản cập nhật dự kiến vào tháng 11. Tuy nhiên, vẫn chưa rõ liệu bản cập nhật này có giải quyết được lỗ hổng Bluetooth mà ABC News đã khai thác trong một báo cáo gần đây hay không.