В роботах-пылесосах SharkNinja с интернет-подключением была обнаружена неисправленная уязвимость, которая потенциально позволяет злоумышленникам получить удаленный доступ к другим устройствам компании и использовать их для слежки, кражи данных и проникновения в домашнюю сеть. Об этом, как пишет Malwarebytes сообщил исследователь информационной безопасности под псевдонимом tokay0.
По его данным, проблема связана с некорректной политикой AWS IoT (правилами доступа устройств к облачной инфраструктуре Amazon). Исследователь изучил робот-пылесос Shark RV2320EDUS и выяснил, что встроенный сертификат AWS IoT позволяет публиковать и получать данные не только для конкретного устройства, но и для других пылесосов Shark, работающих в том же регионе AWS.
Как отмечается в исследовании, первоначальный доступ к сертификату требует физического доступа к устройству и использования отладочной консоли, однако дальнейшая эксплуатация уязвимости осуществляется удаленно через облачную инфраструктуру.
По словам исследователя, злоумышленник с таким доступом потенциально может использовать камеру робота-пылесоса для наблюдения за пользователями, получить пароль от домашней сети Wi-Fi, который, как утверждается, хранится в открытом виде, а также скопировать карту помещения, позволяющую определить планировку дома и частоту использования отдельных комнат.
В ходе исследования tokay0 с помощью сертификата собственного устройства проанализировал активность устройств Shark в одном регионе AWS. За 24 часа он обнаружил 1 517 605 уникальных серийных номеров пылесосов, при этом около 673,8 тыс. устройств, или примерно 44%, ответили таким образом, что это указывало на поддержку удаленного выполнения команд. По оценке исследователя, точное количество уязвимых устройств определить сложно, однако проблема затрагивает «очень большое число» IoT-устройств SharkNinja.
Как отмечается в исследовании, проблема находится на стороне облачной инфраструктуры, а не в прошивке устройств, поэтому пользователи не могут устранить ее самостоятельно. По словам исследователя, SharkNinja была уведомлена об уязвимости более шести месяцев назад, однако на момент публикации она оставалась неисправленной.
До выхода исправления владельцам рекомендуется отключить функции удаленного управления или полностью отсоединить робот-пылесос от сети Wi-Fi.
Ранее выяснилось, что в Японии роботизированный волк-монстр отгоняет животных и птиц от аэропорта.