A veces miro mi robot aspirador y me pregunto si sabe cuánto me gusta. No creo que si me está mirando, pensando… bueno… ¿quién sabe qué? Sin embargo, si tuviera un robot aspirador Ecovac, esto podría ser todo en lo que podría pensar y rápidamente taparía su cámara potencialmente codiciosa.
Según un nuevo informe Gracias al trabajo de hackers de robots aspiradores desde hace mucho tiempo, algunas aspiradoras Ecovac pueden ser pirateadas, con cierta habilidad pero no físicamente, dando a los posibles atacantes acceso a todos los sistemas y sensores integrados, incluida la cámara.
Es una historia simple y algo desconcertante: el reportero de noticias de ABC Australia, Julian Fell, siguió los informes de que algunas aspiradoras Ecovac podían ser pirateadas y pronto, con el permiso del propietario de Ecovac, pirateó de manera segura un robot aspirador para sus noticias. Oficinas del sitio.
Phil, que no es un hacker, trabajó con el investigador de ciberseguridad de la Universidad Northeastern, Dennis Ghez, quien descubrió el truco (junto con sus colaboradores Bralene Luedtke y Chris Anderson) y pasó años investigando vulnerabilidades en botnets. Por correo electrónico, Jesse me dijo que ha investigado a la mayoría de los principales fabricantes de robots aspiradores, incluidos Neato e iRobot. “Ecovacs tiene un poco de mala suerte este año, ya que normalmente cambio de proveedor cada año. El año que viene puede que llegue a otro proveedor”.
Giese desarrolló una carga útil y todo lo que Fell tuvo que hacer fue permanecer afuera de sus oficinas, conectarse al robot aspirador a través de Bluetooth y descargarle la carga útil cifrada de Giese. Este ejecutó un trabajo en la aspiradora Ecovac, descargando un script del servidor Giese y luego ejecutándolo. En unos momentos, Fell y Gisee tuvieron acceso a la transmisión de la cámara del robot aspirador. Pudieron ver lo que vieron y, lo más aterrador, pudieron, según el informe, usar un altavoz para enviar un mensaje al propietario de Ecovac: “Hola, Sean, te estoy observando”.
En ningún momento durante este proceso la aspiradora del robot indicó que estaba bajo control externo.
El punto de vista de Ecovac
Cuando me contactaron sobre la historia del hack, Ecovacs me envió esta respuesta:
“ECOVACS otorga la máxima prioridad a la seguridad de los datos y la privacidad del cliente. Para abordar algunos de los problemas de seguridad planteados en los últimos meses, el Comité de Seguridad de ECOVACS ha iniciado una revisión interna de las comunicaciones de la red y el almacenamiento de datos. Seguridad del producto en múltiples dimensiones y continuaremos fortaleciendo el sistema en próximas actualizaciones.
Esto es un poco diferente de lo que dijo la empresa. TechCrunch en agosto. En ese momento, mencionó el proceso de revisión interna, pero también dijo que los consumidores no tenían nada de qué preocuparse, afirmando en una declaración a TechCrunch que “los problemas de seguridad señalados por Giese y Braelynn son extremadamente raros en entornos de usuario típicos y requieren herramientas de piratería especializadas y acceso físico, por lo que los usuarios pueden estar tranquilos”.
Si bien Ecovac probablemente tenía razón sobre las herramientas de programación, le pregunté a Giese sobre el reclamo de “acceso físico”, ya que el informe de Fell explicaba cómo solo usó una conexión Bluetooth desde fuera de su oficina y la carga útil de su teléfono para piratear la aspiradora.
Hay muchas vulnerabilidades diferentes, me dijo Jez, pero para la que Phil hackeó, “sólo necesitas un teléfono y una carga mágica. No hay acceso físico, y ni siquiera necesitas saber dónde está el robot ni a quién pertenece. o qué tipo de modelo es, si estás dentro del alcance, puedes hacerlo”.
Giese le habló por primera vez a Ecovacs sobre la vulnerabilidad en diciembre de 2023 y le dijo a Fell que la compañía inicialmente ni siquiera respondió al mensaje. Sin embargo, Giese no es un hacker Black Hat y no tiene planes de revelar detalles del hack al público. De hecho, no tiene ningún problema particular con Ecovacs.
“Ecovacs no ha tenido tanta suerte este año… No estoy demasiado concentrado en Ecovacs y ya habría seguido adelante si los problemas se hubieran solucionado”.
“Me siento como si estuviera mordiendo a esa empresa y quisiera hacerles daño, pero eso no es cierto. No estoy muy concentrado en Ecovacs y ya habría seguido adelante si los problemas se hubieran solucionado”, dijo Jesi.
Añadió que no necesariamente culpa a Ecovacs por estas y otras vulnerabilidades de las botnets. Afirma que la empresa pagó para obtener las certificaciones adecuadas. “Ecovacs también es una víctima aquí. Pagaron dinero a alguien que se esperaba que los autenticara según el estándar (ETSI xxxx). Hubo muchas cosas que deberían haberse encontrado (como problemas de SSL), pero no se encontraron. .”
En cuanto a lo que debe hacer si posee un robot aspirador Ecovacs: comience por asegurarse de que todo su software esté actualizado. Puede que Ecovacs no esté de acuerdo en que se trata de una vulnerabilidad de seguridad grave, pero Ecovacs nos dijo: “Hemos reforzado la seguridad del producto en múltiples dimensiones”, lo que a mí me suena a actualizaciones de software.
Mientras tanto, puede hacer lo que hicieron las Ecovacs originales y colocar una manta sobre la cámara eléctrica robótica cuando no esté en uso.