עוד שבוע, עוד חולשת אבטחה חמורה במכשיר המיועד לבית החכם: חוקרי חברת אבטחת המידע הישראלית צ'קמרקס חושפים היום (ד') חולשות אבטחה חמורות שהתגלו בשואב אבק רובוטי חכם מתוצרת Trifo. השואב המדובר, משווק עם נקודת מכירה מעניינת - "השואב המקורי המשמש למעקב ביתי", והוא אכן מצויד במצלמה ובמיקרופונים, המאפשרים מעקב אחר המתרחש במרחב הביתי. אלה מתחברים לרשת ה-Wi-Fi, והופכים את השואב החכם לסכנת פרטיות של ממש.
כך מנצלים את שואב האבק הרובוטי למעקב
(צילום: צ'קמרקס)
החוקרים מצאו מספר חולשות אבטחה, חלקן בדרגה בינונית וחלקן בדרגה חמורה. מאחר והרובוט מצוייד במצלמה שמסוגלת לתפוס את כל מה שנקרה בדרכו מגובה של חצי מטר ומעלה, הוא בעצם אוסף מידע ויזואלי רגיש במיוחד על כל מה שמתרחש בבית. באמצעות החולשות, תוקפים יכולים לעקוף את הרשאות הפרטיות ולקבל גישה מלאה אל כל החומר המצולם על-ידי הרובוט.
נוסף לכך, נמצא כי אפשר לקבל גישה למיפוי מלא של הבית ופרטים על מיקומו. אם נעשה שימוש בשואב החכם במרחב משרדי - תוקפים יכולים להיחשף גם למידע עסקי רגיש באמצעות חשיפה אל החומר המצולם שהרובוט אוסף.
"בכל פעם שאנחנו כצרכנים ניגשים למכשיר כזה מרחוק דרך הטלפון הנייד, אנחנו למעשה פותחים סיכון חדש, סוג של דלת אחורית לרשת הביתית ולכל שאר המכשירים המחוברים בבית, לרבות המחשב", מסביר ארז ילון, ראש צוות המחקר בצ'קמרקס. "במכשירים עם מצלמה - הפלישה לפרטיות רק מחמירה את הסיכון. בעולם שהופך למחובר יותר ויותר, שמירה על פרטיותם של צרכנים וארגונים חייבת לעמוד בראש סדר העדיפויות".
באופן יחסית חריג, חברת Trifo סרבה להגיב או להיענות בכל דרך לדיווח של חוקרי צ'קמרקס, ולא החילה שום עדכון אבטחה רלוונטי במוצר. החוקרים טוענים כי דיווחו מספר פעמים לחברה, ואף חשפו בפניה את דוח האבטחה המלא. בהתאם לזאת, ההמלצה היא להפסיק באופן מיידי את השימוש בשואב האבק החכם של החברה, או לכל הפחות לכסות לו את המצלמה. על אף שהשואב של Trifo אינו משווק באופן רשמי בישראל, חולשות האבטחה שנחשפו ממחישות את הסכנה הטמונה במכשירי IoT ובית חכם, ובפרט כשאלה מגיעים מצויידים במצלמה או מיקרופונים.
