Luka w odkurzaczy Shark: dostęp do kamer, haseł Wi-Fi
Odkurzacze Shark mają poważną lukę bezpieczeństwa. Atakujący mogą uzyskać dostęp do kamer, map domowych i haseł sieci Wi-Fi. Dowiedz się, jak się chronić.
Odkurzacze Shark podłączone do chmury Amazon mają niezałataną lukę bezpieczeństwa, która pozwala atakującym na zdalne sterowanie wieloma urządzeniami w tym samym regionie AWS i dostęp do kamer, map domowych oraz haseł sieci Wi-Fi. Problem odkrył badacz posługujący się pseudonimem tokay0, który rozmontował odkurzacz automatyczny Shark RV2320EDUS i znalazł w nim certyfikat AWS IoT umożliwiający komunikację z dowolnym urządzeniem marki Shark w tym samym regionie geograficznym.
Jak powstała luka w zabezpieczeniach?
Amazon Web Services (AWS) udostępnia dla urządzeń IoT tzw. “cienie” — wirtualne reprezentacje urządzeń przechowujące informacje o stanie, konfiguracji i poleceniach. Każde urządzenie powinno mieć dostęp wyłącznie do swojego własnego “cienia”. Jednak polityka bezpieczeństwa firmy Shark dotycząca protokołu MQTT (Message Queuing Telemetry Transport) jest zbyt liberalna — zamiast ograniczyć dostęp do konkretnego urządzenia, pozwala certyfikatom na publikowanie i subskrybowanie tematów dotyczących wszystkich urządzeń Shark w danym regionie AWS.
Regiony AWS to odrębne lokalizacje geograficzne, w których Amazon utrzymuje centra danych. Obecnie na całym świecie istnieje 39 regionów AWS, każdy całkowicie odizolowany od pozostałych. Oznacza to, że luka dotyczy potencjalnie milionów urządzeń w każdym regionie.
Skala zagrożenia — liczby, które mówią same za siebie
Badacz tokay0 przeprowadził eksperyment, monitorując ruch z urządzeń Shark w jednym regionie AWS przez 24 godziny. Wyniki są alarmujące:
| Parametr | Liczba |
|---|---|
| Unikalne numery seryjne urządzeń Shark | 1 517 605 |
| Urządzenia obsługujące zdalne polecenia | 673 816 |
| Procent zagrożonych urządzeń | ~44% |
Wartość tych liczb pokazuje, że luka dotyczy bardzo dużej populacji urządzeń SharkNinja z obsługą IoT. Trudno oszacować dokładną skalę problemu, ponieważ dane pochodzą z jednego regionu AWS — jeśli podobny odsetek urządzeń w pozostałych 38 regionach jest zagrożony, liczba potencjalnych ofiar może sięgać dziesiątków milionów.
Co atakujący może zrobić z dostępem do chmury?
Chociaż początkowe przejęcie kontroli nad urządzeniem wymaga fizycznego dostępu (aby wydobyć certyfikat z konsoli debugowania), dalsze nadużycia odbywają się całkowicie zdalnie w chmurze. Osoba atakująca posiadająca skradziony certyfikat może:
- Sterować wieloma odkurzaczami — włączać, wyłączać i kierować nimi w dowolnym czasie, co stanowi zagrożenie dla bezpieczeństwa i prywatności
- Uzyskać dostęp do map domowych — poznać układ mieszkania, rozmieszczenie pomieszczeń i ich nazwy
- Pobrać hasła do sieci Wi-Fi — przejąć dostęp do całej sieci domowej i wszystkich podłączonych urządzeń
- Włączyć kamery — jeśli odkurzacz ma wbudowaną kamerę, atakujący może ją aktywować i obserwować wnętrze domu
- Monitorować aktywność — śledzić, kiedy dom jest pusty, a kiedy zamieszkany
Co to oznacza dla właściciela odkurzacza Shark?
Luka w zabezpieczeniach Shark to nie tylko problem z włączaniem odkurzacza o trzeciej nad ranem. To zagrożenie dla całej infrastruktury bezpieczeństwa domowego. Jeśli atakujący uzyska dostęp do hasła Wi-Fi, może przejąć inne inteligentne urządzenia w domu — kamery, zamki, termostaty. Mapy domowe mogą być użyte do planowania włamania. Nagrania z kamer mogą służyć do szpiegowania.
Problem jest jeszcze poważniejszy, ponieważ dotyczy polityki po stronie serwera, a nie błędu oprogramowania urządzenia. Właściciele nie mogą samodzielnie naprawić luki poprzez aktualizację oprogramowania — tylko producent SharkNinja może zmienić konfigurację bezpieczeństwa w chmurze Amazon.
Jak długo trwa problem?
Badacz powiadomił firmę SharkNinja o luce ponad sześć miesięcy temu. Do dzisiaj luka pozostaje niezałatana, co wskazuje na brak priorytetu bezpieczeństwa u producenta. Tymczasem miliony urządzeń pozostają narażone na ataki.
Historyczne precedensy — Ecovacs jako ostrzeżenie
To nie pierwszy raz, gdy producenci odkurzaczy robotycznych oszczędzają na bezpieczeństwie. Wcześniej Malwarebytes Labs odkrył, że odkurzacze roboty firmy Ecovacs mogą być przejęte w celu odtwarzania nieprzyzwoitych komunikatów i szpiegowania użytkowników za pośrednictwem głośników i czujników. Historia pokazuje, że producenci inteligentnych urządzeń domowych często traktują bezpieczeństwo jako drugorzędny priorytet wobec funkcjonalności i redukcji kosztów.
Rekomendacje dla użytkowników
Dopóki SharkNinja nie usunie luki, właściciele odkurzaczy Shark powinni rozważyć tymczasowe odłączenie urządzenia od chmury lub sieci Wi-Fi. Jeśli odkurzacz wymaga połączenia internetowego do funkcjonowania, należy zapewnić mu izolowaną sieć Wi-Fi oddzieloną od głównej sieci domowej. Dodatkowo warto monitorować aktywność na koncie Shark i regularnie zmieniać hasła dostępu do aplikacji mobilnej.
Ta sprawa podkreśla kluczową prawdę o inteligentnych urządzeniach domowych: wygoda nie powinna być osiągana kosztem bezpieczeństwa i prywatności.
Najczęstsze pytania
Jaki jest problem z odkurzaczami Shark?
Odkurzacze Shark mają lukę w konfiguracji AWS IoT, która pozwala na zdalne sterowanie wieloma urządzeniami w tym samym regionie geograficznym. Certyfikat skradziony z jednego odkurzacza może być użyty do przejęcia innych urządzeń i dostępu do kamer, map domowych oraz haseł Wi-Fi.
Ile urządzeń Shark jest zagrożonych?
Badacz zaobserwował około 1,5 miliona unikalnych numerów seryjnych urządzeń Shark w jednym regionie AWS, z czego około 673 816 urządzeń (44%) wykazało obsługę zdalnego wykonywania poleceń.
Czy mogę naprawić to samodzielnie?
Nie — problem leży w polityce bezpieczeństwa po stronie chmury Amazon, a nie w oprogramowaniu urządzenia. Tylko producent (SharkNinja) może naprawić lukę, tymczasem użytkownicy powinni rozważyć odłączenie urządzenia od chmury.
Czy moje hasło Wi-Fi jest w niebezpieczeństwie?
Tak — osoba z dostępem do chmury może pobrać hasło Wi-Fi z konfiguracji odkurzacza, co stanowi zagrożenie dla całej sieci domowej.
Jak długo SharkNinja wie o tej luce?
Producent SharkNinja został poinformowany o luce ponad sześć miesięcy temu, ale do tej pory jej nie usunął, co wskazuje na brak priorytetu bezpieczeństwa.
Na podstawie: Malwarebytes. Tekst opracowany redakcyjnie.