Wtyczki aplikacji mobilnej ECOVACS HOME dla wybranych robotów nie weryfikują poprawnie certyfikatów TLS, umożliwiając atakującemu przechwycenie lub modyfikację ruchu sieciowego. Podatność jest krytyczna, ponieważ pozwala na uzyskanie tokenów uwierzytelniających bez jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
ECOVACS HOME mobile app plugins for specific robots do not properly validate TLS certificates. An unauthenticated attacker can read or modify TLS traffic and obtain authentication tokens.
Aplikacja mobilna ECOVACS HOME nie przeprowadza właściwej walidacji certyfikatów TLS (CWE-295) podczas komunikacji z robotami. Nieuwierzytelniony atakujący znajdujący się na ścieżce sieciowej (atak man-in-the-middle) może przechwycić szyfrowany ruch TLS lub go zmodyfikować. W wyniku tego atakujący uzyskuje dostęp do tokenów uwierzytelniających przesyłanych między aplikacją a urządzeniem.
Atakujący może odczytać lub zmodyfikować komunikację TLS oraz przejąć tokeny uwierzytelniające, co w praktyce oznacza możliwość przejęcia kontroli nad robotem i dostęp do powiązanych usług chmurowych — potencjalnie także w ramach systemów wewnętrznych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ecovacs.com/global/userhelp/dsa20241217001. Do czasu aktualizacji zaleca się unikanie korzystania z aplikacji w niezaufanych sieciach Wi-Fi.
Wtyczki aplikacji mobilnej ECOVACS HOME obsługujące określone modele robotów — konkretne wersje wskazane w referencjach producenta (DSA20241217001).
Podatność była prezentowana publicznie na konferencjach 37C3 (2023) oraz HITCON CMT 2024, co potwierdza referencja do slajdów badaczy z serwisu dontvacuum.me. Oznacza to, że szczegóły techniczne są od dłuższego czasu dostępne publicznie.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XEcovacs Home
APPEcovacs< 3.0.0
Powiązane podatności
The cloud service used by ECOVACS robot lawnmowers and vacuums allows authenticated attackers to bypass the PI...
Nieprawidłowa walidacja certyfikatów TLS w urządzeniach ECOVACS
ECOVACS vacuum robot base stations do not validate firmware updates, so malicious over-the-air updates can be ...
ECOVACS robot lawnmowers and vacuums use a deterministic symmetric key to decrypt firmware updates. An attacke...
ECOVACS robot lawnmowers and vacuums use a deterministic root password generated based on model and serial num...