Cómo tu hogar inteligente se transforma en un sistema de vigilancia.
Los investigadores de ciberseguridad Dennis Giese y Bräilinn descubrieron que las aspiradoras y cortacéspedes robóticos de la empresa Ecovacs pueden convertirse en herramientas de espionaje para sus propietarios.
Las investigaciones, presentadas en Def Con, demostraron que los atacantes pueden tomar el control de los dispositivos a través de Bluetooth y utilizar las cámaras y micrófonos integrados para la vigilancia. Además, las vulnerabilidades de seguridad descubiertas permiten hackear los dispositivos en solo unos segundos.
Según una entrevista de los especialistas con TechCrunch, la principal vulnerabilidad radica en la posibilidad de conectarse al robot a través de Bluetooth a una distancia de hasta 130 metros. Luego, los hackers pueden acceder al dispositivo a través de internet, ya que los robots están conectados a Wi-Fi. Una vez comprometido, los atacantes pueden controlar el robot, acceder a los mapas del entorno y activar las cámaras y micrófonos.
Lo que resulta especialmente preocupante es que la mayoría de los nuevos modelos de Ecovacs están equipados con al menos una cámara y un micrófono, y carecen de indicadores de actividad. Teóricamente, algunos modelos deberían emitir una notificación cada 5 minutos si la cámara está encendida, pero los hackers pueden fácilmente eliminar el archivo con dicha configuración y continuar con la vigilancia sin ser detectados.
Además, los investigadores identificaron otros problemas con los dispositivos de Ecovacs. Por ejemplo, los datos de los usuarios permanecen en los servidores en la nube de la empresa incluso después de eliminar la cuenta, lo que permite a los cibercriminales mantener el acceso al dispositivo. También se descubrió un PIN débilmente protegido en las cortadoras de césped, que se almacena en texto plano y puede ser fácilmente encontrado y utilizado.
Giese y Bräilinn intentaron contactar a Ecovacs para informar sobre las vulnerabilidades encontradas, pero no recibieron respuesta. Los expertos expresan una seria preocupación de que la empresa aún no haya solucionado los problemas, lo que deja a millones de usuarios en todo el mundo vulnerables a posibles ataques.
Los especialistas analizaron los modelos Ecovacs Deebot 900 Series, Deebot N8/T8, Deebot N9/T9, Deebot N10/T10, Deebot X1, Deebot T20, Deebot X2, Goat G1, Spybot Airbot Z1, Airbot AVA y Airbot ANDY. Según los investigadores, si al menos uno de los dispositivos es hackeado, los atacantes también pueden obtener acceso a otros robots de Ecovacs que se encuentren cerca.