Durante la reciente conferencia de hacking Def Con, los investigadores de seguridad Dennis Giese y Braelynn revelaron vulnerabilidades críticas en los robots aspiradores y cortacésped de la marca Ecovacs, que podrían ser explotadas pora atacantes para espiar a los usuarios.
Los dispositivos analizados incluyen varias series de robots aspiradores y otros dispositivos de la marca, como el Ecovacs Deebot 900, N8/T8, N9/T9, N10/T10, X1, T20, X2, el cortacésped Goat G1, y los robots de aire Spybot Airbot Z1, Airbot AVA, y Airbot ANDY.
Los investigadores descubrieron que estas fallas permiten a los atacantes tomar el control de las cámaras y micrófonos de los dispositivos a través de Bluetooth, sin que el usuario lo note, ya que los robots carecen de indicadores visuales que muestren cuando estos componentes están activos. Según Giese, la seguridad de estos dispositivos era «extremadamente deficiente».
Uno de los problemas identificados es que cualquier persona a menos de 140 metros puede hacerse con el control del robot mediante Bluetooth. Una vez bajo su control, los atacantes pueden acceder al robot a través de su conexión Wi-Fi y extraer datos sensibles como credenciales Wi-Fi, mapas guardados de las habitaciones y acceso a las cámaras y micrófonos.
Giese explicó que, aunque los robots cortacésped de Ecovacs mantienen el Bluetooth activo de forma constante, los aspiradores solo lo activan durante 20 minutos tras encenderse y una vez al día durante un reinicio automático, lo que los hace un poco más difíciles de hackear. Sin embargo, aunque algunos modelos teóricamente emiten una alerta sonora cada cinco minutos cuando la cámara está encendida, los hackers pueden eliminar fácilmente este archivo, operando sin ser detectados.
Además de estos problemas, los investigadores descubrieron que los datos y tokens de autenticación de los usuarios permanecen en los servidores de Ecovacs incluso después de que se elimine una cuenta, lo que podría permitir el acceso no autorizado al dispositivo, especialmente si es adquirido de segunda mano. También señalaron que los cortacésped almacenan el PIN antirrobo en texto plano, lo que facilita su obtención y uso indebido por parte de los atacantes. Una vez comprometido un robot de Ecovacs, este podría ser utilizado para hackear otros dispositivos cercanos de la misma marca.
Inicialmente, un portavoz de Ecovacs declaró que la compañía no abordaría las vulnerabilidades descubiertas. Sin embargo, semanas después, el fabricante anunció que corregiría los problemas.