CRITICAL🇬🇧 English

CVE-2024-52329

Nieprawidłowa walidacja certyfikatów TLS w aplikacji ECOVACS HOME

CVSS 9.5v4.0pub. 2025-01-23upd. 2025-09-23

Wtyczki aplikacji mobilnej ECOVACS HOME dla wybranych robotów nie weryfikują poprawnie certyfikatów TLS, umożliwiając atakującemu przechwycenie lub modyfikację ruchu sieciowego. Podatność jest krytyczna, ponieważ pozwala na uzyskanie tokenów uwierzytelniających bez jakichkolwiek poświadczeń.

Pokaż oryginał (EN)

ECOVACS HOME mobile app plugins for specific robots do not properly validate TLS certificates. An unauthenticated attacker can read or modify TLS traffic and obtain authentication tokens.

🤖 Analiza AI
Jak działa

Aplikacja mobilna ECOVACS HOME nie przeprowadza właściwej walidacji certyfikatów TLS (CWE-295) podczas komunikacji z robotami. Nieuwierzytelniony atakujący znajdujący się na ścieżce sieciowej (atak man-in-the-middle) może przechwycić szyfrowany ruch TLS lub go zmodyfikować. W wyniku tego atakujący uzyskuje dostęp do tokenów uwierzytelniających przesyłanych między aplikacją a urządzeniem.

Skutki

Atakujący może odczytać lub zmodyfikować komunikację TLS oraz przejąć tokeny uwierzytelniające, co w praktyce oznacza możliwość przejęcia kontroli nad robotem i dostęp do powiązanych usług chmurowych — potencjalnie także w ramach systemów wewnętrznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ecovacs.com/global/userhelp/dsa20241217001. Do czasu aktualizacji zaleca się unikanie korzystania z aplikacji w niezaufanych sieciach Wi-Fi.

Kogo dotyczy

Wtyczki aplikacji mobilnej ECOVACS HOME obsługujące określone modele robotów — konkretne wersje wskazane w referencjach producenta (DSA20241217001).

Uwagi

Podatność była prezentowana publicznie na konferencjach 37C3 (2023) oraz HITCON CMT 2024, co potwierdza referencja do slajdów badaczy z serwisu dontvacuum.me. Oznacza to, że szczegóły techniczne są od dłuższego czasu dostępne publicznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Ecovacs Home

    APP
    Ecovacs
    < 3.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-52327MEDIUM6.0ten sam produkt

The cloud service used by ECOVACS robot lawnmowers and vacuums allows authenticated attackers to bypass the PI...

CVE-2024-52330CRITICAL9.5PL ✓ten sam vendor

Nieprawidłowa walidacja certyfikatów TLS w urządzeniach ECOVACS

CVE-2025-30199HIGH7.5ten sam vendor

ECOVACS vacuum robot base stations do not validate firmware updates, so malicious over-the-air updates can be ...

CVE-2024-52331HIGH7.7ten sam vendor

ECOVACS robot lawnmowers and vacuums use a deterministic symmetric key to decrypt firmware updates. An attacke...

CVE-2024-11147HIGH7.0ten sam vendor

ECOVACS robot lawnmowers and vacuums use a deterministic root password generated based on model and serial num...