Una vulnerabilidad en la serie de robots aspiradores Ecovacs Deebot X2 permite a los ciberdelincuentes controlar y manipular los aparatos en remoto, así como emitir insultos y comentarios racistas contra sus propietarios o perseguir a las mascotas del hogar.
Los investigadores de seguridad Dennis Giese y Braelynn Luedtke advirtieron hace unos meses una falla de seguridad en estos aspiradores que habría otorgado permisos a los atacantes para acceder a funciones como la transmisión de vídeo sin el conocimiento ni el consentimiento de los usuarios.
Los modelos analizados para este estudio son Ecovacs Spybot Airbot Z1, Ecovacs Deebot 900 Series, Ecovacs Goat G1, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Airbot ANDY, Ecovacs Deebot X2 y Ecovacs Airbot AVA.
Los expertos, que notificaron este problema al fabricante antes de hacer pública la vulnerabilidad sin obtener respuesta por su parte, profundizaron en la falla el pasado mes de agosto, en el marco de la conferencia de piratería informática y ciberseguridad DEF CON 2023.
Entonces, apuntaron que actores malintencionados podían tomar el control de los robots aspiradores y cortacésped fabricados por Ecovacs para espiar a sus propietarios usando tanto las cámaras como los micrófonos de los dispositivos.
Asimismo, avanzaron que el principal problema era una vulnerabilidad que permitía que cualquier persona se pudiera conectar a uno de estos robots mediante Bluetooth y controlarlos a una distancia de que superaba los 100 metros.
De esa forma, una vez los piratas informáticos tomaban el control del dispositivo, podían acceder a su conectividad WiFi y conocer información como los mapas de las salas de la casa almacenadas, en el caso de los aspiradores. Las máquinas cortacésped de Ecovacs, en cambio, eran más difíciles de 'hackear' debido a que se reiniciaban automáticamente a diario.
No obstante, Giese y Braelynn determinaron que, una vez que uno de estos robots se viese comprometido, otros dispositivos de la marca también podían ser pirateados si estos se encontraban al alcance del equipo vulnerado.
Por su parte, Ecovacs apuntó que las fallas descubiertas por los investigadores eran «extremadamente raras en entornos de usuarios típicos» y que requerían «herramientas de piratería especializadas y acceso físico al dispositivo», tal y como recoge TechCrunch. Asimismo, la marca señaló que los usuarios no necesitaban «preocuparse excesivamente» por esto.
Poco después, reconoció ante el mismo medio que, tras llevar a cabo «una verificación y un autoexamen exhaustivos», había identificado «varias áreas en las que hay un margen de mejora», en palabras del director del Comité de Seguridad de Ecovacs, Martin Ma. Así, confirmó que se había iniciado un proceso para realizar mejoras de su servicio y abordar los problemas detectados.
La falla se mantiene
Recientemente, y con la ayuda de Geeser, un periodista de ABC News, Julian Fell, ha comprobado que la compañía de robótica doméstica no había solucionado los problemas de seguridad de sus aspiradores, al probar el modelo Deebot X2 -que se comercializa por 2.500 dólares, unos 2.286 euros al cambio actual- en la oficina de un voluntario, identificado como Sean Kelly.
Desde un parque cercano al lugar de trabajo de Kelly, situado en la cuarta planta de un edificio, y a una distancia de unos 140 metros, Fell se conectó al Bluetooth del aspirador con su 'smartphone' a través de la aplicación para el robot y descubrió que podía tener acceso completo al dispositivo. El investigador se encargó de 'hackear' el sistema.
De esa manera, no solo podía mover el dispositivo por toda la estancia a su antojo, sino también hablar al propio Sean a través del micrófono del aparato. Así, a través de un servidor situado en Estados Unidos, Giese recibía en Alemania las imágenes captadas por la cámara del aspirador en directo.
Desde ABC News han subrayado que, aunque Ecovacs dijo que solucionaría esta brecha, siguen estando en riesgo varios modelos de la marca, incluido su último 'flagship', lanzado en julio de este año.
A raíz de la publicación de este artículo, algunos afectados han compartido sus experiencias con Fell. Entre ellos, un abogado de Minnesota (Estados Unidos), que ha explicado que el pasado 24 de mayo su robot emitió un sonido «como una señal de radio entrecortada» y que «se podían escuchar fragmentos de una voz».
Al acceder a la aplicación del robot, determinó que un agente extraño estaba accediendo a la transmisión de su cámara en vivo y a la función de control remoto. Para solucionarlo, cambió su contraseña y reinició el robot.
Una vez puesto en marcha, el robot comenzó a hacer comentarios racistas. «Me dio la impresión de que era un niño, tal vez un adolescente» el que hablaba, ha señalado el afectado a ABC, preocupado por que el robot haya tomado imágenes íntimas de los miembros de la familia.
Otro usuario de Los Ángeles ha confirmado al mismo medio que su robot aspirador comenzó a perseguir a su perro en su casa y que del electrodoméstico también se emitían diferentes comentarios abusivos.
Algo parecido le sucedió a otra persona de El Paso (Texas), ya que el Ecovacs Deebot X2 comenzó a decir insultos racistas hasta que esta persona lo desenchufó de su fuente de alimentación.
Por su parte, la compañía de robótica ha dirigido un escrito a ABC News en el que ha señalado que llevó a cabo una investigación interna exhaustiva a finales de mayo de 2024 y que no encontró "ninguna prueba que sugiriera que terceros no autorizados hubieran tenido nombres de usuario y contraseñas como resultado de alguna vulneración de los sistemas" de la marca.
Sin embargo, sí ha reconocido que identificó un incidente de robo de credenciales, en el que un tercero intentó usar direcciones de correo y contraseñas para intentar obtener acceso a las cuenteas de sus clientes.
Debido a que "hubo significativamente más intentos de inicio de sesión que la cantidad diaria promedio« y que »todos ellos fueron desde la misma dirección IP«, esta se bloqueó »de inmediato". Asimismo, ha asegurado que avisó a los clientes para que modificasen las contraseñas de sus cuentas tras este hallazgo.
Por último, ha confirmado que publicará una actualización de 'firmware' inalámbrica (OTA, por sus siglas en inglés) para los propietarios de la serie de robots aspiradores Evovacs Deebot X2 en noviembre de este año.