Los piratas informáticos también atacaron robots aspiradores vendidos en Finlandia, informa la cadena australiana ABC. Ecovacs es uno de los mayores fabricantes de aspiradoras robóticas del mundo, y los investigadores le advirtieron sobre la insuficiente seguridad de los datos ya en diciembre de 2023.
La falta de seguridad de la información en el robot aspirador Ecovacs Deebot X2 ha sido explotada al menos en Estados Unidos. Ecovacs
- En Estados Unidos ha habido informes de extraños incidentes relacionados con el robot aspirador Ecovacs.
- La emisora australiana ABC logró piratear el dispositivo en su propia prueba.
- El fabricante chino del dispositivo comentó sobre la prueba de ABC el viernes 18 de octubre.
Locutor australiano ABC Dice que los piratas informáticos que atacaron el robot aspirador Ecovacs Deebot X2 de fabricación china hicieron que los dispositivos transmitieran expresiones racistas, controlaran sus movimientos e incluso fotografiaran en secreto casas en Estados Unidos. Los casos se notificaron anteriormente en Finlandia. Ilta Sanomat.
abogado de minnesota Daniel Swenson dijo a ABC que el pasado mes de mayo estaba viendo la televisión en casa con su familia cuando el robot aspirador de la casa empezó a comportarse de una manera inusual.
– Sonó como una señal de radio crepitante o algo así. Sonaba como pequeños fragmentos de una voz humana, dijo Swenson a ABC.
Swenson vio en la aplicación móvil Ecovacs que un desconocido había obtenido acceso a la cámara del dispositivo y a la función de control remoto.
Incluso en este punto, Swenson consideró que lo que pasó era algún tipo de error técnico. Sin embargo, por razones de seguridad, cambió la contraseña de su cuenta Ecovacs y reinició el dispositivo.
Empeorar
Sin embargo, casi inmediatamente después del reinicio, el robot comenzó a moverse nuevamente. Esta vez tampoco estaba claro qué provenía del altavoz del robot.
Las malas palabras que comenzaban con V y los insultos que comenzaban con n resonaron en la sala de estar de la familia hasta que Swenson apagó el dispositivo por completo. La voz le pareció la de un niño, posiblemente un adolescente.
El shock rápidamente se convirtió en miedo y luego en disgusto. A pesar del confuso suceso, Swenson dice que se siente aliviado de que la parte que hackeó el dispositivo se revelara de forma tan clara y no observara, por ejemplo, a la familia en secreto.
En otro caso, un robot aspirador persiguió a un perro
En mayo se revelaron otros casos similares en Estados Unidos. En Los Ángeles, el Deebot X2 de Ecovacs de repente empezó a perseguir al perro de la familia. En El Paso también comenzaron a escucharse insultos racistas provenientes de la misma aspiradora.
Los investigadores de seguridad advirtieron a Ecovacs el pasado mes de diciembre sobre fallos de seguridad en los robots aspiradores de la empresa y en la aplicación utilizada para gestionarlos.
Según ABC, el agujero más grave encontrado estaba relacionado con la conexión Bluetooth del dispositivo, donde la vulnerabilidad encontrada permitía a un hacker tomar el control del dispositivo incluso a más de 100 metros de distancia. Sin embargo, hasta el momento no hay certeza de si en estos casos se aprovechó esta vulnerabilidad particular.
ABC tuvo éxito en su propia prueba para entrar en el dispositivo, su cámara y otros sensores desde una distancia de 140 metros utilizando únicamente una conexión Bluetooth. El dispositivo también servía para acceder a la red Wi-Fi a la que estaba conectado.
El robot aspirador Ecovacs Deebot X2 se vende, entre otras cosas, en Finlandia un gigante, Fuerza y Veikon Kone.
Comentarios del fabricante
El viernes, la empresa china Ecovacs emitió un comunicado a los medios informando sobre el incidente reportado por ABC. Dice que discutió la prueba realizada por ABC con el mismo investigador de seguridad de la información que también ayudó a ABC en la realización de la prueba.
– Los métodos actuales de piratería de robots aspiradores a través de la conexión Bluetooth no afectan a los consumidores comunes, afirma Ecovacs en la práctica, negando únicamente que la piratería del dispositivo a través de la conexión Bluetooth pueda explicar casos extraños.
Según Ecovacs, el hackeo descrito por ABC requiere acceso físico al dispositivo y presionar el botón de conexión de red o el botón de reinicio. Después de esto, el atacante debe descompilar el firmware y la aplicación del dispositivo y tener un conocimiento profundo del protocolo utilizado en el dispositivo para realizar los siguientes pasos de piratería.
– De esta forma, los usuarios no tienen que preocuparse por la seguridad de los productos, afirmó la empresa.
Ecovacs no comentó directamente sobre casos en los Estados Unidos donde personas externas habían tomado el control de aspiradoras robóticas. La empresa se contentó con recordar que no se deben utilizar los mismos nombres de usuario y contraseñas en diferentes plataformas e instó a cambiar las contraseñas con regularidad.
– Respondemos a este tipo de acciones maliciosas probando e implementando verificaciones de inicio de sesión de varios pasos y mecanismos de detección en tiempo real, y actualizamos constantemente nuestras estrategias de defensa.
Artículo editado el 18.10. a las 15:10: Se agregaron comentarios del fabricante.