باحثون يكشفون عن ثغرات خطيرة في روبوتات إيكوفاكس تتيح التجسس على المستخدمين
وفقًا لدراسة حديثة، يمكن للمتسللين الخبثاء الاستيلاء على أجهزة تنظيف الأرضيات وقص العشب الآلية التي تصنعها شركة إيكوفاكس، واستخدام كاميرات وميكروفونات هذه الأجهزة للتجسس على أصحابها.
من المقرر أن يعرض الباحثان الأمنيان، دينيس جيسي وبرالين، تفاصيل بحثهما حول هذه الأجهزة في مؤتمر “ديف كون” المخصص للقرصنة يوم السبت المقبل. بعد تحليل مجموعة من منتجات إيكوفاكس، اكتشف الباحثان عدة ثغرات يمكن استغلالها لاختراق الروبوتات عبر البلوتوث وتشغيل الكاميرات والميكروفونات خلسة عن بُعد.
وفي حديثه مع “تيك كرانش”، صرح جيسي قائلاً: “كانت الثغرات الأمنية خطيرة للغاية، بحق”.
وأكد الباحثان أنهما أبلغا شركة إيكوفاكس عن هذه الثغرات الأمنية، لكنهما لم يتلقيا أي رد منها. ويعتقدان أن الثغرات لا تزال موجودة، مما يجعلها عرضة للاستغلال من قبل المتسللين.
لم تقدم إيكوفاكس أي تعليق لـ”تيك كرانش” حول هذه المزاعم.
تتمثل المشكلة الرئيسية، وفقًا للباحثين، في ثغرة تتيح لأي شخص يستخدم هاتفًا الاقتراب من أي جهاز إيكوفاكس ضمن نطاق 130 مترًا (450 قدمًا) والتحكم فيه عبر البلوتوث. بمجرد أن يسيطر المتسللون على الجهاز، يمكنهم الاتصال به عن بُعد عبر الإنترنت باستخدام شبكة Wi-Fi، مما يمكنهم من التحكم الكامل في الجهاز.
وأوضح جيسي: “بمجرد إرسال حمولة تستغرق ثانية واحدة، يمكننا إعادة الاتصال بالجهاز من خلال خادم على الإنترنت والتحكم فيه عن بُعد. يمكننا قراءة بيانات اعتماد شبكة Wi-Fi، والوصول إلى جميع خرائط الغرف المحفوظة. وبما أننا نسيطر على نظام التشغيل Linux الخاص بالروبوت، يمكننا الوصول إلى الكاميرات والميكروفونات وأي ميزات أخرى”.
وأشار جيسي إلى أن أجهزة قص العشب تكون متصلة بتقنية البلوتوث بشكل مستمر، بينما يتم تفعيل البلوتوث في أجهزة تنظيف الأرضيات لمدة 20 دقيقة عند التشغيل، ومرة واحدة يوميًا عند إعادة التشغيل التلقائي، مما يجعل اختراقها أكثر صعوبة.
ومع أن معظم روبوتات إيكوفاكس الحديثة مزودة بكاميرا واحدة على الأقل وميكروفون، فإن المتسللين، بمجرد سيطرتهم على الروبوت، يمكنهم تحويله إلى أداة تجسس. كما أن الروبوتات لا تحتوي على أي ضوء إشعار أو مؤشر آخر لتنبيه الأشخاص القريبين عند تشغيل الكاميرات والميكروفونات، وفقًا للباحثين.
وأضاف جيسي أنه في بعض الطرازات، يوجد ملف صوتي يُشغل كل خمس دقائق ليخبر المستخدمين أن الكاميرا قيد التشغيل، لكن يمكن للمتسللين حذف هذا الملف بسهولة والبقاء دون أن يتم اكتشافهم.
إلى جانب خطر الاختراق، أشار الباحثان إلى وجود مشاكل أخرى في أجهزة إيكوفاكس. من بين هذه المشاكل، تستمر البيانات المخزنة على الروبوتات في البقاء على خوادم سحابة إيكوفاكس حتى بعد حذف حساب المستخدم، كما يبقى رمز المصادقة على السحابة، مما يسمح بالوصول إلى الروبوت بعد حذف الحساب وربما يمكن من التجسس على المالك الجديد إذا تم بيع الروبوت.
بالإضافة إلى ذلك، تحتوي أجهزة قص العشب على آلية مضادة للسرقة تتطلب إدخال رمز PIN إذا تم رفع الجهاز، لكن يتم تخزين رمز PIN كنص عادي داخل جزازة العشب، مما يسهل على المتسللين العثور عليه واستخدامه.
وأوضح الباحثون أنه بمجرد اختراق روبوت إيكوفاكس، يمكنهم بسهولة اختراق أجهزة أخرى من نفس النوع إذا كانت في نطاق قريب.