Všechny napadené vysavače byly stejného typu – čínského modelu Ecovacs Deebot X2, který se již dříve dostal do povědomí kvůli své snadné zranitelnosti vůči hackerům. Tento model má totiž zásadní bezpečnostní chybu, která umožňuje útočníkům obejít čtyřmístný PIN kód potřebný k přístupu a ovládání zařízení. To znamená, že kdokoliv, kdo tuto chybu využije, může převzít plnou kontrolu nad vysavačem včetně jeho kamer a mikrofonu.

Jedním z postižených byl právník Daniel Swenson z Minnesoty. Jak popisuje, útok začal ve chvíli, kdy seděl s rodinou a sledoval televizi. "Robot začal vydávat podivné zvuky, něco jako přerušovaný radiový signál," řekl Swenson. Pomocí mobilní aplikace pak brzy zjistil, že jeho vysavač ovládá neznámá osoba, která se napojila na živý přenos z kamery a získala přístup k jeho dálkovému ovládání.

Swenson se pokusil situaci vyřešit resetováním hesla a restartováním robota, ale to situaci jen zhoršilo. Robot se sám od sebe znovu pohnul a z reproduktorů začala vycházet lidská slova. "Byl to lidský hlas, který křičel rasistické nadávky. Můj syn to slyšel také," uvedl rozhořčeně Swenson. "Měl jsem dojem, že to byl nějaký mladík, možná puberťák, který přeskakoval mezi zařízeními a dělal si legraci z různých rodin." I když se jednalo o traumatický zážitek, Swenson přiznává, že situace mohla být daleko horší, například kdyby robot potají špehoval jeho rodinu několik dní bez jejich vědomí.

Další oběti a vzorce útoků

Swenson však nebyl jedinou obětí tohoto útoku. Téhož dne se podobný incident odehrál v Los Angeles, kde robotický vysavač pronásledoval psa po domě a opět došlo k hlasitým urážkám. O pět dní později byl zaznamenán obdobný útok v El Pasu. Ačkoliv není jasné, kolik zařízení bylo napadeno celkově, vzorce ukazují na širší problém, který postihuje stejný model vysavače po celé zemi.

Podstatou těchto útoků je již zmíněná bezpečnostní chyba, která umožňuje útočníkům obejít PIN kód potřebný k přístupu do aplikace ovládající vysavač. Tento problém se objevil poprvé v prosinci 2023, ale zdá se, že v posledních týdnech došlo k jeho zneužití ve větším měřítku. Další významnou slabinou tohoto modelu je Bluetooth připojení, které umožňuje kompletní kontrolu nad robotem ze vzdálenosti až 300 stop. Vzhledem k rozsahu útoků však tato chyba pravděpodobně není hlavním faktorem, protože útoky byly hlášeny z různých částí země, kde Bluetooth připojení z takové vzdálenosti není možné.

Reakce výrobce

Podle technologického portálu Gizmodo vyvinula společnost Ecovacs opravu, která má zmíněnou bezpečnostní chybu odstranit. Aktualizace by měla být dostupná v průběhu listopadu, přičemž firma slíbila, že udělá vše pro to, aby k podobným situacím již nedocházelo. Redakce ABC News se na Ecovacs obrátila s žádostí o potvrzení této informace, ale na odpověď zatím čekají.