Aspirapolvere robot che insulta, bestemmia e usa un linguaggio razzista e volgare: è successo in diverse occasioni negli Stati Uniti e per colpa di un attacco hacker. Tutto nasce dal racconto fatto sul social Reddit dall’utente Daniel Swenson, un cittadino americano che ha vissuto un’esperienza davvero inquietante. Mentre il suo figlio era presente, il robot aspirapolvere ha iniziato a proferire frasi offensive e discriminatorie. Swenson, inizialmente incredulo, ha subito capito che si trattava di un attacco hacker. “Ho avuto l’impressione che fosse un ragazzino”, ha raccontato Swenson. “Forse stavano semplicemente saltando da un dispositivo all’altro, prendendo in giro le famiglie”.
LEGGI LE ALTRE NOTIZIE CURIOSE
Swenson, pur turbato dall’accaduto, è rimasto comunque sollevato dal fatto che gli hacker abbiano annunciato la loro presenza in modo così evidente. Secondo lui, sarebbe stato molto peggio se avessero deciso di osservare la sua famiglia in silenzio all’interno della propria casa. I robot aspirapolvere, infatti, sono dotati di telecamere e microfoni che potrebbero essere utilizzati per spiare le persone senza che queste se ne accorgano. “È stato uno shock”, ha ammesso Swenson.
Sebbene suo figlio non abbia completamente compreso la gravità della situazione, Swenson ha deciso di prendere tutte le precauzioni necessarie. Ha portato il robot aspirapolvere in garage e non lo ha più utilizzato. Purtroppo, il caso di Swenson non è isolato. Diverse persone negli Stati Uniti hanno segnalato episodi simili di hacking di robot aspirapolvere in pochi giorni l’uno dall’altro.
Il 24 maggio, lo stesso giorno dell’attacco a Swenson, un Deebot X2 ha iniziato a inseguire il cane del suo proprietario per casa. Il robot veniva controllato da remoto e pronunciava commenti offensivi attraverso gli altoparlanti. Pochi giorni dopo, un altro dispositivo è stato hackerato. Un robot Ecovacs a El Paso ha iniziato a proferire insulti razzisti contro il suo proprietario fino a quando quest’ultimo non lo ha scollegato. Non è chiaro quanti dispositivi della società siano stati hackerati in totale.
Sei mesi prima degli attacchi, alcuni ricercatori di sicurezza avevano tentato di informare l’azienda produttrice, la Ecovacs, di gravi vulnerabilità nei suoi robot aspirapolvere e nell’app che li controlla. La più grave era una falla nel connettore Bluetooth che consentiva l’accesso completo all’Ecovacs X2 da oltre 100 metri di distanza. Anche il sistema di codice PIN che protegge il feed video del robot e la funzione di controllo remoto era noto per essere difettoso, e il suono di avvertimento che dovrebbe suonare quando la telecamera viene osservata poteva essere disabilitato da remoto.
Questi problemi di sicurezza potrebbero spiegare come gli hacker abbiano preso il controllo di più robot in luoghi separati e come abbiano potuto sorvegliare in silenzio le loro vittime una volta entrati. Nei giorni successivi agli incidenti con il suo robot aspirapolvere Ecovacs, Daniel Swenson ha presentato un reclamo alla società. Dopo alcuni scambi con il personale di supporto, ha ricevuto una telefonata da un dipendente senior di Ecovacs con sede negli Stati Uniti. “Ha dovuto ripetere tre o quattro volte che avrei dovuto avere un video di quello che era successo”, ha raccontato Swenson. “Ogni volta gli ho risposto: ‘sì, sarebbe fantastico, ma ero più concentrato sul fatto che un robot hackerato era nel mezzo del mio soggiorno a guardarci e forse a registrarci'”.
Il dipendente sembrava non credere a quello che stava dicendo, secondo Swenson, nonostante molti altri proprietari avessero segnalato attacchi simili nello stesso periodo. In seguito a questa telefonata, Swenson è stato informato che era stata condotta un’ “indagine di sicurezza”. “Il tuo account Ecovacs e la sua password sono stati acquisiti da una persona non autorizzata”, gli ha comunicato un rappresentante dell’azienda tramite email. L’azienda ha anche affermato di aver identificato l’indirizzo IP del colpevole e di averlo disabilitato per impedire ulteriori accessi.
In un’email successiva, gli hanno detto che c’era “un’alta probabilità che il tuo account Ecovacs sia stato colpito da un attacco informatico di ‘credential stuffing'”. Si tratta di quando qualcuno riutilizza lo stesso nome utente e password su più siti web e la combinazione viene rubata in un altro attacco informatico. L’azienda ha dichiarato all’ABC di “non aver trovato prove” che gli account fossero stati hackerati attraverso “una violazione dei sistemi di Ecovacs”.
Anche se Swenson avesse utilizzato lo stesso nome utente e password su altri siti e se quelle credenziali fossero state diffuse online, ciò non avrebbe dovuto essere sufficiente per accedere al feed video o controllare il robot da remoto. Queste funzionalità dovrebbero essere protette da un codice PIN a quattro cifre. Tuttavia, una coppia di ricercatori di sicurezza ha rivelato che poteva essere bypassato durante una conferenza di hacking nel dicembre 2023.
I ricercatori avevano avvertito Ecovacs del problema prima di rendere pubblico lo sfruttamento. Un portavoce di Ecovacs ha affermato che questa falla è stata ora risolta, tuttavia Giese ha dichiarato all’ABC che la soluzione dell’azienda era insufficiente per colmare il buco di sicurezza. Il portavoce ha anche dichiarato che l’azienda ha “inviato una pronta email” istruendo i clienti a modificare le loro password in seguito all’incidente. Ecovacs ha dichiarato che avrebbe rilasciato un aggiornamento di sicurezza per i proprietari della sua serie X2 a novembre.