Рамблер
Все новости
Чемпионат мира по футболу 2026Личный опытНовости путешествийРынкиЛюдиИсторииБезумный мирБиатлонВ миреПриродаПрофессииПорядокЗОЖВоспитаниеЧто делать, еслиГаджетыМузыкаФинансовая грамотностьФильмы и сериалыНовости МосквыСтиль жизниНоутбуки и ПКГосуслугиПитомцыБолезниОтношенияКиноКредитыОтдых в РоссииФутболПолитикаПомощьСемейный бюджетИнструкцииЗдоровое питаниеТрудовое правоСериалыСофтВкладыОтдых за границейХоккейОбществоГероиЦифрыБезопасностьРемонт и стройкаБеременностьКнигиИнвестицииЛекарстваПоиск работыЛайфхакиАктерыЕдаПроисшествияЛичный опытНаучпопКрасотаМалышиТеатрыВыгодаПродуктивностьМебель и декорБокс/MMAНаука и техникаЗаконыДача и садПсихологияОбразованиеВыставки и музеиШкольникиКарты и платежиАвтоспортПсихологияШоу-бизнесЗащитаДетское здоровьеПрогулкиКарьерный ростБытовая техникаТеннисВоенные новостиХоббиЭкономикаБаскетболТрендыИгрыАналитикаТуризмКомпанииЛичный счетНедвижимостьФигурное катаниеДетиБиатлон/ЛыжиДом и садШахматыЛетние виды спортаЗимние виды спортаВолейболОколо спорта
Личные финансы
Женский
Кино
Спорт
Aвто
Развлечения и отдых
Здоровье
Путешествия
Помощь
Полная версия

Malwarebytes: хакеры могут взломать весь умный дом через робот-пылесос SharkNinja

В роботах-пылесосах SharkNinja с интернет-подключением была обнаружена неисправленная уязвимость, которая потенциально позволяет злоумышленникам получить удаленный доступ к другим устройствам компании и использовать их для слежки, кражи данных и проникновения в домашнюю сеть. Об этом, как пишет Malwarebytes сообщил исследователь информационной безопасности под псевдонимом tokay0.

По его данным, проблема связана с некорректной политикой AWS IoT (правилами доступа устройств к облачной инфраструктуре Amazon). Исследователь изучил робот-пылесос Shark RV2320EDUS и выяснил, что встроенный сертификат AWS IoT позволяет публиковать и получать данные не только для конкретного устройства, но и для других пылесосов Shark, работающих в том же регионе AWS.

Как отмечается в исследовании, первоначальный доступ к сертификату требует физического доступа к устройству и использования отладочной консоли, однако дальнейшая эксплуатация уязвимости осуществляется удаленно через облачную инфраструктуру.

По словам исследователя, злоумышленник с таким доступом потенциально может использовать камеру робота-пылесоса для наблюдения за пользователями, получить пароль от домашней сети Wi-Fi, который, как утверждается, хранится в открытом виде, а также скопировать карту помещения, позволяющую определить планировку дома и частоту использования отдельных комнат.

В ходе исследования tokay0 с помощью сертификата собственного устройства проанализировал активность устройств Shark в одном регионе AWS. За 24 часа он обнаружил 1 517 605 уникальных серийных номеров пылесосов, при этом около 673,8 тыс. устройств, или примерно 44%, ответили таким образом, что это указывало на поддержку удаленного выполнения команд. По оценке исследователя, точное количество уязвимых устройств определить сложно, однако проблема затрагивает «очень большое число» IoT-устройств SharkNinja.

Как отмечается в исследовании, проблема находится на стороне облачной инфраструктуры, а не в прошивке устройств, поэтому пользователи не могут устранить ее самостоятельно. По словам исследователя, SharkNinja была уведомлена об уязвимости более шести месяцев назад, однако на момент публикации она оставалась неисправленной.

До выхода исправления владельцам рекомендуется отключить функции удаленного управления или полностью отсоединить робот-пылесос от сети Wi-Fi.