Luka w zabezpieczeniach odkurzacza Shark naraża na niebezpieczeństwo kamery, mapy domowe i hasła do sieci Wi-Fi

| 17 lipca 2026 r.
Logo z rekinem

Roboty odkurzające firmy Shark podłączone do chmury są obecnie narażone na niezałatany błąd w polityce bezpieczeństwa AWS (Amazon Services) dotyczącej IoT (Internetu rzeczy), który może sprawić, że jedno zainfekowane urządzenie stanie się „uniwersalnym kluczem” umożliwiającym zdalne sterowanie wieloma innymi urządzeniami w tym samym regionie, zapewniając dostęp do kamer, map i haseł do sieci Wi-Fi.

Badacz posługujący się pseudonimem tokay0 rozmontował odkurzacz automatyczny Shark RV2320EDUS i odkrył, że wbudowany w niego certyfikat AWS IoT umożliwia mu publikowanie i subskrybowanie tematów dotyczących dowolnego urządzenia marki Shark w tym samym regionie AWS, a nie tylko samego siebie.

Region AWS to odrębna lokalizacja geograficzna, w której Amazon swoje centra danych w chmurze. Każdy region AWS jest całkowicie odizolowany od pozostałych. Obecnie na całym świecie istnieje 39 regionów AWS.

Zgodnie z założeniami platformy AWS udostępnia „cienie” dla poszczególnych urządzeń, w których przechowywane są informacje o stanie, takie jak konfiguracja i polecenia. Jednak zbyt liberalna polityka Shark dotycząca protokołu MQTT (Message Queuing Telemetry Transport) pozwala skradzionemu certyfikatowi nawiązywać łączność również z „cieniami” innych odkurzaczy.

Mówiąc najprościej, oznacza to, że każdy odkurzacz powinien mieć swoją prywatną „skrzynkę odbiorczą” w chmurze. Ponieważ zasady działania chmury firmy Shark są zbyt ogólne, certyfikat skradziony z jednego odkurzacza może również wysyłać polecenia do skrzynek odbiorczych innych odkurzaczy.

Chociaż certyfikat został pobrany z urządzenia Vacuum przy użyciu fizycznego dostępu i konsoli debugowania – co oznacza, że początkowe przejęcie kontroli wymaga bezpośredniego dostępu – dalsze nadużycia mają charakter zdalny i odbywają się w chmurze.

Dla właścicieli nie chodzi tu tylko o to, że ktoś włącza odkurzacz o 3:00 nad ranem. Według badacza osoba atakująca posiadająca taki dostęp do chmury mogłaby:

  • Oglądaj obraz z kamery odkurzacza, zamieniając go w mobilne urządzenie monitorujące w Twoim domu.
  • Wykradnij hasło do sieci Wi-Fi, które – jak twierdzi badacz – jest przechowywane w postaci zwykłego tekstu, co potencjalnie może zapewnić mu dostęp do Twojej sieci lokalnej.
  • Skopiuj mapę domu utworzoną przez odkurzacz, przedstawiającą rozkład pomieszczeń oraz częstotliwość korzystania z poszczególnych obszarów.

Już wcześniej mieliśmy okazję przekonać się, jak „inteligentne” odkurzacze mogą stanowić zagrożenie dla prywatności i bezpieczeństwa, gdy producenci oszczędzają na zabezpieczeniach. Labs Malwarebytes Labs , w jaki sposób odkurzacze roboty firmy Ecovacs mogą zostać przejęte w celu odtwarzania nieprzyzwoitych komunikatów i szpiegowania użytkowników za pośrednictwem głośników i czujników, pokazując, jak szybko pomocne urządzenie gospodarstwa domowego może stać się niepożądanym gościem w domu.

Korzystając z certyfikatu z własnego środowiska testowego, badacz był w stanie monitorować ruch z urządzeń Shark w tym samym regionie AWS i ustalić, które z nich obsługują zdalne wykonywanie poleceń. W ciągu 24 godzin w jednym regionie AWS badacz zaobserwował 1 517 605 unikalnych numerów seryjnych urządzeń Shark i stwierdził, że 673 816 urządzeń (około 44%) zareagowało w sposób wskazujący na obsługę funkcji zdalnego wykonywania poleceń.

Badacz napisał:

„Trudno jest oszacować dokładną liczbę urządzeń, których to dotyczy, a jeszcze trudniej ustalić, które z nich posiadają nieprawidłowo skonfigurowane certyfikaty umożliwiające publikowanie treści na różnych urządzeniach”.

Doszedł jednak do następującego wniosku:

„Ta luka w zabezpieczeniach dotyczy bardzo dużej liczby urządzeń SharkNinja z obsługą IoT”.

Jak zachować bezpieczeństwo

Głównym problemem w tej sprawie jest polityka po stronie chmury, która nie jest wystarczająco rygorystyczna. To sprawia, że jest to problem po stronie serwera, a nie błąd oprogramowania układowego, który można samodzielnie naprawić.

Według badacza firma SharkNinja nie usunęła tej luki w zabezpieczeniach, mimo że została o niej poinformowana ponad sześć miesięcy temu. Dopóki sytuacja się nie zmieni, właściciele powinni:

  • Należy wywrzeć presję na firmę Shark, aby rozwiązała ten problem.
  • Wyłącz sterowanie zdalne odkurzacza lub odłącz go od sieci Wi-Fi, jeśli nie potrzebujesz jego funkcji inteligentnych.
  • Śledź komunikaty firmy Shark dotyczące poprawek, numerów CVE lub wycofania produktów z rynku.

Przeglądaj, jakby nikt nie patrzył. 

Malwarebytes Privacy VPN Twoje połączenie i nigdy nie rejestruje Twojej aktywności, dzięki czemu kolejna przeczytana przez Ciebie wiadomość nie będzieCię osobiście dotykać.Wypróbuj za darmo → 

O autorze

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.