Den populære Deebot X2-robotstøvsuger, der er også er blevet solgt i Danmark, er blevet hacket og brugt til skræmme hunde, komme med racistiske ytringer og måske også kamera-overvåge ejerne.
Hvis du er indehaver af en Ecovacs Deebot X2-robotstøvsuger, bør du nok skifte kodeord og PIN til din Ecovacs-konto – og holde dig klar til en softwareopgradering, der er planlagt til at komme i næste måned.
I den forløbne uge har hackere nemlig tiltusket sig adgang til den kinesisk-producerede robotstøvsuger i flere tilfælde på tværs af USA. Det har ført til at hackerne fik fuld kontrol over støvsugerne og brugte dem til temmelig nedrige formål.
I flere tilfælde aktiverede hackerne for eksempel den indbyggede højttaler og brugte den til at råbe en masse racistiske skældsord. Det skete blandt andet for advokaten Daniel Swenson i Minnesota. Det rapporterer den australske tv-station ABC.
Swenson fortæller, at han sad og så TV med isn familie, da robotstøvsugeren begyndte at sige mærkelige lyde, ”lidt som et dårligt radio-signal”. Det hjalp imidlertid ikke at skifte passwordet og genstarte robotstøvsugeren ifølge Swenson, for det var først derefter, de racistiske skældsord begyndte at lyde fra robotten.
Jagtede en hund
Swenson gætter på at stemmen tilhører en teenager. Det var dog ikke kun i det nordlige USA, at hackerangrebet på Ecovacs-støvsugerne fandt sted. En anden ejer af den samme model i El Paso i Texas ved den mexicanske grænse blev også hacket.
Og ude mod vest, i Los Angeles i Californien, blev endnu et eksemplar af Ecovacs-støvsugerrobotten hacket. Her blev robotten brugt til at skræmme livet af en hund, som blev jagtet af robotten, akkompagneret af høje råb fra Ecovacs’ens højttaler.
Sidste år viste sikkerheds-forskere, at Ecovacs Deebot X2-robotstøvsugere kunne hackes og dens pinkode-proces omgås. Ecovacs hævder at have lappet dette hul, og lover at en ny patch, planlagt til at blive udsendt i november, vil lappe det hul som hackerne udnyttede i den forløbne uge.
Ecovacs siger også, at de har blokeret adgangen til alle deres støvsugere fra den IP-adresse, hvortil hackerangrebet kan spores. Hackerne udnyttede angiveligt den såkaldte ”credential stuffing”-metode, hvor en lang liste af stjålne login-informationer prøves af, indtil der er hul igennem. Derfor er der god grund til at skifte password, også selv om det angiveligt ikke virkede i Daniel Swensons tilfælde.
Ifølge Ecovacs er der ikke blevet stjålet yderligere personlige informationer ved angrebet. Det ser dog ud som om, hackerne også fik adgang til robottens kamera under de forskellige angreb, og de kunne dermed også spionere på Deebot X2-ejerne uden at disse vidste noget om det.