Uneori oferite și „gratuit”, la achiziționarea unui alt produs mai dezirabil, precum un smartphone nou lansat, anumite modele de aspiratoare robot pot veni echipate cu camere video și microfoane care pot servi și în alte scopuri decât recepționarea comenzilor vocale și navigarea locuinței cu ajutorul AI.
Luate la puricat de hackeri solicitați de reporterii televiziunii australiene ABC, aspiratoarele robotizate fabricate de producătorul chinez Ecovacs vin la pachet cu o vulnerabilitate majoră ce permite controlarea de la distanță a dispozitivului, folosind camerele video și microfonul pentru a obține poze și clipuri video cu sunet din locuințele utilizatorilor.
Investigând și mai departe problema, a ieșit la iveală că vulnerabilitatea descoperită în firmware-ul dispozitivelor nu a ajuns acolo accidental, ci este consecința probabil neintenționată a unei funcții pe care producătorul Ecovacs o folosește acum în interes propriu. Concret, utilizatorii australieni care au achiziționat aspiratoarele vândute sub brandul Deebot sunt încurajați să accepte în mod voluntar înrolarea în „programul de îmbunătățire a calității produsului”, prin acceptarea solicitării afișată în aplicația pentru smartphone Ecovacs.
Doar că acestora nu li se spune exact ce date vor fi colectate, ci doar că ”ne va ajuta să întărim îmbunătățirea funcțiilor produsului și a calității atașate”. Chiar dacă există o sugestie ”click above” pentru a vedea detaliile programului, link-ul aferent nu există.
În realitate, filmările și înregistrările audio despre care utilizatorii habar nu au că sunt colectate și transmise prin internet sunt folosite pentru antrenarea modelelor AI dezvoltate de companie.
Accesibilă pentru consultare dintr-o altă secțiune a aplicației, politica de confidențialitate Ecovacs menționează că termenii serviciului implică acceptarea colectării generale a datelor utilizatorilor în scopuri de cercetare, inclusiv:
- Harta 2D sau 3D a locuinței utilizatorului generată de dispozitiv
- Înregistrări vocale de la microfonul dispozitivului
- Fotografii sau videoclipuri înregistrate de camera dispozitivului
- De asemenea, se precizează că înregistrările audio, videoclipurile și pozele care sunt șterse prin aplicație pot continua să fie păstrate și utilizate de Ecovacs.
Totuși, chiar dacă înregistrările ce ajung pe serverele Ecovacs nu sunt folosite și în alte scopuri decât cel declarat, vulnerabilitățile la partea de securitate (considerate de nivel critic) permit în continuare piratarea aspiratoarelor comercializate de o companie nu tocmai mică (valoare de piață estimată la 4,6 miliarde dolari) ale cărei produse sunt comercializate și în afara Chinei.
Cercetătorul în securitate cibernetică Dennis Giese a raportat problemele companiei anul trecut, după ce a găsit o serie de erori de bază care pun în pericol confidențialitatea clienților Ecovacs. Producătorul s-a angajat să remedieze vulnerabilitățile semnalate încă din luna noiembrie, acestea sunt prezente și acum în cea mai recentă versiune de firmware disponibilă pentru aspiratoare robot.