18 lip 2026
Zagrożenia i Ataki

Luka w odkurzaczy Shark: dostęp do kamer, haseł Wi-Fi

Odkurzacze Shark mają poważną lukę bezpieczeństwa. Atakujący mogą uzyskać dostęp do kamer, map domowych i haseł sieci Wi-Fi. Dowiedz się, jak się chronić.

Redakcja · 18 lipca 2026
A sleek, white robotic vacuum cleaner operating on a hexagonal tiled floor.
Fot. MART PRODUCTION / Pexels · Pexels License

Odkurzacze Shark podłączone do chmury Amazon mają niezałataną lukę bezpieczeństwa, która pozwala atakującym na zdalne sterowanie wieloma urządzeniami w tym samym regionie AWS i dostęp do kamer, map domowych oraz haseł sieci Wi-Fi. Problem odkrył badacz posługujący się pseudonimem tokay0, który rozmontował odkurzacz automatyczny Shark RV2320EDUS i znalazł w nim certyfikat AWS IoT umożliwiający komunikację z dowolnym urządzeniem marki Shark w tym samym regionie geograficznym.

Jak powstała luka w zabezpieczeniach?

Amazon Web Services (AWS) udostępnia dla urządzeń IoT tzw. “cienie” — wirtualne reprezentacje urządzeń przechowujące informacje o stanie, konfiguracji i poleceniach. Każde urządzenie powinno mieć dostęp wyłącznie do swojego własnego “cienia”. Jednak polityka bezpieczeństwa firmy Shark dotycząca protokołu MQTT (Message Queuing Telemetry Transport) jest zbyt liberalna — zamiast ograniczyć dostęp do konkretnego urządzenia, pozwala certyfikatom na publikowanie i subskrybowanie tematów dotyczących wszystkich urządzeń Shark w danym regionie AWS.

Regiony AWS to odrębne lokalizacje geograficzne, w których Amazon utrzymuje centra danych. Obecnie na całym świecie istnieje 39 regionów AWS, każdy całkowicie odizolowany od pozostałych. Oznacza to, że luka dotyczy potencjalnie milionów urządzeń w każdym regionie.

Skala zagrożenia — liczby, które mówią same za siebie

Badacz tokay0 przeprowadził eksperyment, monitorując ruch z urządzeń Shark w jednym regionie AWS przez 24 godziny. Wyniki są alarmujące:

ParametrLiczba
Unikalne numery seryjne urządzeń Shark1 517 605
Urządzenia obsługujące zdalne polecenia673 816
Procent zagrożonych urządzeń~44%

Wartość tych liczb pokazuje, że luka dotyczy bardzo dużej populacji urządzeń SharkNinja z obsługą IoT. Trudno oszacować dokładną skalę problemu, ponieważ dane pochodzą z jednego regionu AWS — jeśli podobny odsetek urządzeń w pozostałych 38 regionach jest zagrożony, liczba potencjalnych ofiar może sięgać dziesiątków milionów.

Co atakujący może zrobić z dostępem do chmury?

Chociaż początkowe przejęcie kontroli nad urządzeniem wymaga fizycznego dostępu (aby wydobyć certyfikat z konsoli debugowania), dalsze nadużycia odbywają się całkowicie zdalnie w chmurze. Osoba atakująca posiadająca skradziony certyfikat może:

  • Sterować wieloma odkurzaczami — włączać, wyłączać i kierować nimi w dowolnym czasie, co stanowi zagrożenie dla bezpieczeństwa i prywatności
  • Uzyskać dostęp do map domowych — poznać układ mieszkania, rozmieszczenie pomieszczeń i ich nazwy
  • Pobrać hasła do sieci Wi-Fi — przejąć dostęp do całej sieci domowej i wszystkich podłączonych urządzeń
  • Włączyć kamery — jeśli odkurzacz ma wbudowaną kamerę, atakujący może ją aktywować i obserwować wnętrze domu
  • Monitorować aktywność — śledzić, kiedy dom jest pusty, a kiedy zamieszkany

Co to oznacza dla właściciela odkurzacza Shark?

Luka w zabezpieczeniach Shark to nie tylko problem z włączaniem odkurzacza o trzeciej nad ranem. To zagrożenie dla całej infrastruktury bezpieczeństwa domowego. Jeśli atakujący uzyska dostęp do hasła Wi-Fi, może przejąć inne inteligentne urządzenia w domu — kamery, zamki, termostaty. Mapy domowe mogą być użyte do planowania włamania. Nagrania z kamer mogą służyć do szpiegowania.

Problem jest jeszcze poważniejszy, ponieważ dotyczy polityki po stronie serwera, a nie błędu oprogramowania urządzenia. Właściciele nie mogą samodzielnie naprawić luki poprzez aktualizację oprogramowania — tylko producent SharkNinja może zmienić konfigurację bezpieczeństwa w chmurze Amazon.

Jak długo trwa problem?

Badacz powiadomił firmę SharkNinja o luce ponad sześć miesięcy temu. Do dzisiaj luka pozostaje niezałatana, co wskazuje na brak priorytetu bezpieczeństwa u producenta. Tymczasem miliony urządzeń pozostają narażone na ataki.

Historyczne precedensy — Ecovacs jako ostrzeżenie

To nie pierwszy raz, gdy producenci odkurzaczy robotycznych oszczędzają na bezpieczeństwie. Wcześniej Malwarebytes Labs odkrył, że odkurzacze roboty firmy Ecovacs mogą być przejęte w celu odtwarzania nieprzyzwoitych komunikatów i szpiegowania użytkowników za pośrednictwem głośników i czujników. Historia pokazuje, że producenci inteligentnych urządzeń domowych często traktują bezpieczeństwo jako drugorzędny priorytet wobec funkcjonalności i redukcji kosztów.

Rekomendacje dla użytkowników

Dopóki SharkNinja nie usunie luki, właściciele odkurzaczy Shark powinni rozważyć tymczasowe odłączenie urządzenia od chmury lub sieci Wi-Fi. Jeśli odkurzacz wymaga połączenia internetowego do funkcjonowania, należy zapewnić mu izolowaną sieć Wi-Fi oddzieloną od głównej sieci domowej. Dodatkowo warto monitorować aktywność na koncie Shark i regularnie zmieniać hasła dostępu do aplikacji mobilnej.

Ta sprawa podkreśla kluczową prawdę o inteligentnych urządzeniach domowych: wygoda nie powinna być osiągana kosztem bezpieczeństwa i prywatności.

Najczęstsze pytania

Jaki jest problem z odkurzaczami Shark?

Odkurzacze Shark mają lukę w konfiguracji AWS IoT, która pozwala na zdalne sterowanie wieloma urządzeniami w tym samym regionie geograficznym. Certyfikat skradziony z jednego odkurzacza może być użyty do przejęcia innych urządzeń i dostępu do kamer, map domowych oraz haseł Wi-Fi.

Ile urządzeń Shark jest zagrożonych?

Badacz zaobserwował około 1,5 miliona unikalnych numerów seryjnych urządzeń Shark w jednym regionie AWS, z czego około 673 816 urządzeń (44%) wykazało obsługę zdalnego wykonywania poleceń.

Czy mogę naprawić to samodzielnie?

Nie — problem leży w polityce bezpieczeństwa po stronie chmury Amazon, a nie w oprogramowaniu urządzenia. Tylko producent (SharkNinja) może naprawić lukę, tymczasem użytkownicy powinni rozważyć odłączenie urządzenia od chmury.

Czy moje hasło Wi-Fi jest w niebezpieczeństwie?

Tak — osoba z dostępem do chmury może pobrać hasło Wi-Fi z konfiguracji odkurzacza, co stanowi zagrożenie dla całej sieci domowej.

Jak długo SharkNinja wie o tej luce?

Producent SharkNinja został poinformowany o luce ponad sześć miesięcy temu, ale do tej pory jej nie usunął, co wskazuje na brak priorytetu bezpieczeństwa.

Na podstawie: Malwarebytes. Tekst opracowany redakcyjnie.