גל של תקיפות סייבר שהתרחש לאחרונה על שואבי אבק רובוטיים של חברת Ecovacs ברחבי ארה"ב, חשף חולשות מדאיגות במכשירים חכמים. לפי הדיווחים, האקרים הצליחו להשתלט על השואבים מרחוק, צעקו דרכם קללות גזעניות ואף ניצלו את המצלמות המובנות בהם כדי לרגל אחר בעליהם.
"השואב הרובוטי התחיל לצעוק בסלון"
דניאל סוונסון, עורך דין ממינסוטה, סיפר לאחרונה לרשת ABC האוסטרלית על חוויה מטרידה שעבר עם שואב האבק הרובוטי שלו. "המכשיר נכנס לסלון והתחיל לצעוק מול אשתי ובני בן ה-13", אמר סוונסון וטען "הקול נשמע כמו של נער מתבגר". מקרה דומה אירע בלוס אנג'לס, שם דיווח אדם כי השואב הרובוטי שלו החל להשתולל ולרדוף אחרי הכלב של המשפחה. שני האירועים אגב, התרחשו באותו היום.
הדיווחים על הפריצות מגיעים לאחר שחוקרי אבטחת סייבר חשפו לפני מספר חודשים שורה של חולשות אבטחה במכשירים של חברת Ecovacs. החוקרים הצליחו להשתלט על אחד השואבים הרובוטיים של החברה באמצעות חיבור בלוטות' כשהיו במרחק של 137 מטרים ממנו, ולאחר ההשתלטות הראשונית, הצליחו לגשת למכשיר מרחוק מכל נקודה בעולם, בתנאי שהרובוט היה מחובר לרשת ווי פיי. במקביל, הצליחו החוקרים לפעיל מרחוק גם את המיקרופון והמצלמה של הרובוט.
הבעיה - מכשירים חכמים אבל פגיעים
בשיחה עם עודד ואנונו, ראש מחקר חולשות מוצרים בחברת הסייבר צ'ק פוינט, הוא מסביר כי "שואבי אבק רובוטיים הם בעצם סוג של מחשב, חלק מעולם שלם שנקרא IoT (Internet of things) שמשמעותו לקחת מוצרים דוממים, מכשירי חשמל וכו', ולהפוך אותם לדיגיטליים וחכמים".
"ניקח למשל גלאי עשן - פעם הם היו פשוטים, מזהים עשן דרך קולטנים ומצפצפים. ואז הגיעו חברות טכנולוגיות שאמרו 'למה שלא נהפוך גלאי עשן לחכמים, כך שנוכל לקבל מידע בזמן אמת ולתפוס שריפות בהתחלה שלהן?' אז הוסיפו למוצר הזה מחשב ופונקציות שונות לשליטה מרחוק. משם זה עבר למקררים, מצלמות, רכבים כמובן, ובעצם כמעט כל מוצר חשמלי כיום כבר מציע אלטרנטיבה דיגיטלית".
ואנונו מסביר כי החיבור לאינטרנט של מכשירים אלו משרת שתי מטרות עיקריות: "המטרה הראשונה היא לתת למשתמש את היכולת להפעיל ולהתחבר למכשיר באמצעות אפליקציה, והשנייה היא לתת לספק/יצרן יכולת להעשיר את המוצר ולשדרג אותו דרך עדכוני תוכנה. הבעיה היא כמובן, שברגע שאנחנו מחברים מכשיר לרשת האינטרנט, הוא הופך לפגיע".
יש לשואב מצלמה? יש לכם בעיה
אחת החולשות העיקריות מבחינה זו בשואבים הרובוטיים, והפיצ'ר שיצרניות רבות מתגאות בו, זו כמובן המצלמה שבהם. מצד אחד מדובר בכלי יעיל שמעניק למכשיר תכונות סריקה מתקדמות ואופציה לצפייה מרחוק, אך מצד שני, מדובר במצלמה אליה ניתן לפרוץ ולעקוב באמצעותה אחר אנשים.
"עשינו בזמנו פרויקט על אחד משואבי האבק של LG. פירקנו אותו לחלקים והצלחנו לאתר חולשה שאפשרה לנו לחדור לניהול ה-IoT של החברה, מה שהעניק לנו גישה ושליטה לא רק על הרובוט המדובר, אלא לכל מכשירי ה-IoT שלהם. הראנו איך אנחנו מצליחים להשתלט על השואב, להפעיל אותו בבית, לצלם תמונות באמצעותו וכדומה", חושף ואנונו.
השאלה המתבקשת היא מה זה נותן לתוקף? כמה זה מעניין לעקוב אחרינו?
לדבריו של ואנונו, "המטרה היא לא להשתלט על רובוט בודד, אלא על מערכת הניהול המרכזית של היצרנית, ודרכה לקבל גישה למאות אלפי מוצרים המחוברים אליה. המשמעות – אם תוקף מצליח לחדור, יש ברשותו מאות אלפי רכיבים אלקטרוניים שהופכים לבוטים שלו, באמצעותם הוא יכול לאסוף מידע ואפילו לפרוץ למכשירים אחרים בבית שמחוברים לאותה רשת הווי פיי כמו השואב ולפגוע בהם".
ואם חשבתם שפריצה למאות אלפי מוצרי אלקטרוניקה ביתיים במקביל נשמע כמו משהו קצת דמיוני, אז מתברר שלא כך הדבר. "לפני כמה שנים התרחש בעולם אירוע חמור במיוחד, בו האקרים איתרו חולשה במצלמות אינטרנט של יצרנית כלשהי, שהיו מיליונים מהן בעולם, השתלטו עליהן ותקפו באמצעותן את רשת האינטרנט במדינות שונות. לא מדובר בעניין תיאורטי אלא בסיכון ממשי", מספר ואנונו.
בתגובה לדיווחים על האירועים האחרונים בארה"ב, חברת Ecovacs, היצרנית הסינית של השואבים הרובוטיים, אישרה בהודעה רשמית כי אכן התרחשו פרצות אבטחה במוצריה, אך הכחישה כי מערכותיה נפרצו באופן ישיר. לטענתה, מדובר באירוע של "דחיסת הרשאות" (credential stuffing) - שיטה בה האקרים משתמשים בפרטי התחברות שנחשפו באתרים אחרים כדי לנסות ולהיכנס למערכות נוספות.
אז איך אפשר להגן על המכשירים שלנו?
ואנונו מציע מספר טיפים להגנה על מכשירי IoT ביתיים. "קודם כל, חשוב לדאוג לאימות דו שלבי בחשבון שלנו באפליקציה דרכה אנחנו מתחברים למכשירים. במקביל, שימו לב שבממשק הניהול אתם מבטלים את האפשרות לגשת למכשירים שלכם מהאינטרנט אלא רק באמצעות סיסמה או רק דרך רשת הווי פיי הביתית".