Уязвимость в системе «Shark Vacuum» раскрывает данные о камерах, планах дома и паролях Wi-Fi

| 17 июля 2026 года
Логотип с акулой

Роботы-пылесосы Shark с подключением к облаку в настоящее время уязвимы из-за незакрытой уязвимости в политике безопасности AWS (Amazon Services) для IoT (Интернет вещей), которая может превратить одно взломанное устройство в «универсальный ключ» для удаленного управления многими другими устройствами в том же регионе, обеспечивая доступ к камерам, картам и паролям Wi-Fi.

Исследователь под ником tokay0 разобрал робот-пылесос Shark RV2320EDUS и обнаружил, что его встроенный сертификат AWS IoT позволяет публиковать и подписываться на темы для любого устройства Shark в том же регионе AWS, а не только для самого себя.

Регион AWS — это отдельное географическое местоположение, в котором Amazon свои облачные центры обработки данных. Каждый регион AWS полностью изолирован от остальных. В настоящее время в мире насчитывается 39 регионов AWS.

По замыслу AWS предоставляет «теневые копии» для каждого устройства, в которых хранятся такие данные, как конфигурация и команды. Однако чрезмерно либеральная политика Shark в отношении протокола MQTT (Message Queuing Telemetry Transport) позволяет украденному сертификату взаимодействовать также с «теневыми копиями» других пылесосов.

Проще говоря, это означает, что у каждого пылесоса должен быть свой личный «почтовый ящик» в облаке. Поскольку правила доступа к облаку у Shark слишком широки, сертификат, похищенный с одного пылесоса, может также отправлять команды в почтовые ящики других пылесосов.

Хотя сертификат был извлечен из системы «Vacuum» с помощью физического доступа и консоли отладки, что означает, что для первоначального взлома требуется физический доступ, последующее злоупотребление осуществляется удаленно и на основе облачных технологий.

Для владельцев дело не только в том, что кто-то может включить ваш пылесос в 3:00 утра. По словам исследователя, злоумышленник, имеющий такой доступ к облачному хранилищу, может:

  • Смотрите изображение с камеры пылесоса, превратив его в мобильное устройство видеонаблюдения в вашем доме.
  • Получить доступ к паролю Wi-Fi, который, по словам исследователя, хранится в виде открытого текста, что потенциально может дать злоумышленникам возможность проникнуть в вашу локальную сеть.
  • Скопируйте карту вашего дома, созданную пылесосом, на которой отображены планировки комнат и частота использования различных зон.

Мы уже видели, как «умные» пылесосы могут представлять угрозу для конфиденциальности и безопасности, когда производители экономят на мерах безопасности. Labs Malwarebytes Labs , как роботы-пылесосы Ecovacs можно взломать, чтобы воспроизводить нецензурные сообщения и шпионить за пользователями через их динамики и датчики, продемонстрировав, как быстро полезный бытовой прибор может превратиться в нежелательного гостя в доме.

Используя сертификат, полученный в ходе собственного тестирования, исследователь смог отследить трафик с устройств Shark в том же регионе AWS и определить, какие из них поддерживают удаленное выполнение команд. За 24-часовой период в одном регионе AWS исследователь зафиксировал 1 517 605 уникальных серийных номеров устройств Shark и обнаружил, что 673 816 устройств (около 44 %) отвечали таким образом, что это указывало на поддержку функции удаленного выполнения команд.

Исследователь написал:

«Трудно оценить точное количество уязвимых устройств, а ещё сложнее выявить, на каких именно устройствах установлены эти неправильно настроенные сертификаты, позволяющие публиковать контент на других устройствах».

Однако пришли к следующему выводу:

«Эта уязвимость затрагивает очень большое количество устройств SharkNinja, подключенных к Интернету вещей (IoT)».

Как оставаться в безопасности

Основная проблема в данном случае заключается в недостаточно строгой политике на стороне облака. Поэтому речь идет о проблеме на стороне сервера, а не об ошибке прошивки, которую можно исправить самостоятельно.

По словам исследователя, компания SharkNinja так и не устранила эту уязвимость, несмотря на то что о ней было сообщено более шести месяцев назад. Пока ситуация не изменится, владельцам следует:

  • Окажите давление на компанию «Shark», чтобы она устранила эту проблему.
  • Отключите дистанционное управление пылесосом или отсоедините его от Wi-Fi, если вам не нужны его интеллектуальные функции.
  • Следите за объявлениями компании Shark об исправлениях, уязвимостях (CVE) или отзывах продукции.

Просматривайте, как будто никто не смотрит. 

Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно → 

Об авторе

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.