Incidentes Asociados
Es una historia tan antigua como… bueno, la era del Internet de las cosas. Se ha informado de que las aspiradoras robot fabricadas por Ecovacs rondan las casas de las personas, gritándoles blasfemias a través de los altavoces integrados después de que se descubriera que el software de la empresa era vulnerable a la intrusión.
ABC News en Australia informa que recientemente hubo varios casos en todo Estados Unidos en los que los propietarios de aspiradoras Ecovacs notaron que sus dispositivos actuaban de forma inusual.
"Sonaba como una señal de radio entrecortada o algo así", dijo al medio Daniel Swenson, propietario de un Ecovac Deebot X2. "Se podían escuchar fragmentos de una voz". Abrió la aplicación móvil de la aspiradora y descubrió que un extraño estaba accediendo a la transmisión en vivo de la cámara y a la función de control remoto, pero supuso que podría ser un error. Después de restablecer la contraseña y reiniciar la X2, la aspiradora rápidamente comenzó a moverse nuevamente:
Esta vez, no había ninguna ambigüedad sobre lo que salía del altavoz. Una voz gritaba obscenidades racistas, alto y claro, justo frente al hijo del Sr. Swenson.
“Malditos n******s”, gritó la voz, una y otra vez.
Quizás la mejor parte de esta anécdota fue la conclusión incrédula de Swenson de que la situación “podría haber sido peor”. Pero tiene razón en que fue amable de parte del hacker hacerle saber que su aspiradora había sido pirateada en lugar de espiarlo indefinidamente.
El problema más común que la gente tiene con los llamados dispositivos domésticos “inteligentes” es que a menudo requieren una suscripción de software para acceder a la funcionalidad básica, y si el fabricante quiebra o deja de dar soporte al dispositivo, simplemente se convierte en un pisapapeles.
El problema más inquietante surge cuando se puede acceder a los dispositivos inteligentes de forma remota y el fabricante nunca consideró (o le importó) la posibilidad de que los estafadores pudieran aprovecharse de esto para atormentar a las personas en sus propios hogares. El acceso remoto es conveniente, pero cada dos años escuchamos sobre algo atroz, como intrusos que acceden a un monitor de bebé y susurran a través de él por la noche, o que acceden a una puerta de garaje para meterse con su propietario. Muchas veces la intención de estos intrusos es simplemente ser punks. Pero hay que preguntarse cuántas veces sucede y nadie lo sabe.
El problema es que la mayoría de estas empresas de hogares inteligentes venden hardware de consumo y no quieren o no les importa invertir mucho en seguridad; es una idea de último momento para un electrodoméstico. Puedes comprar una de las docenas de robots aspiradores que hay en Amazon; la mayoría de la gente solo quiere el más barato. Así que esto es lo que tenemos, una empresa que no implementa medidas de seguridad básicas.
Y "básico" parece ser justo en este caso. ABC descubrió que, aunque las cuentas de Ecovacs están protegidas con contraseña y se requiere un código PIN adicional de cuatro dígitos para acceder a la transmisión de video, ese código PIN no está validado en el servidor, lo que significa que cualquiera con los conocimientos básicos de una herramienta como Chrome Web Inspector podría evitarlo. Es posible que Swenson estuviera reutilizando credenciales de otros servicios (no lo sabemos con certeza), pero el código PIN debería haber sido un factor adicional que impidiera el acceso de todos modos. Como mínimo, todo lo que Ecovacs realmente necesita hacer es una validación básica de "si es cierto" en sus servidores antes de abrir la transmisión de video.
Según se informa, los investigadores informaron a Ecovacs sobre la vulnerabilidad del Deebot X2 en 2023 y no tomaron medidas hasta hace poco. Dice que se lanzará una actualización de seguridad más importante en noviembre.
Suena loco cuando hablamos de una aspiradora, pero si va a comprar una aspiradora robot, asegúrese de investigar las medidas de seguridad del producto.