Así se hackea un robot aspirador para espiar a través de su cámara y micro
La tecnología doméstica es una gran ayuda, pero también un riesgo potencial para la privacidad, si no está bien protegida. Es lo que ocurre con los robot aspirador de Ecovacs.
El pasado fin de semana se celebró la DEF CON, la conferencia de hackers en donde se han sacado a la luz todo tipo de vulnerabilidades. Una de las más interesantes, por lo que implica, es el hackeo de los robots aspirador de la marca Ecovacs. Su cámara y micrófono se pueden usar para espiar dentro de casa.
Los hackers Dennis Giese y Braelynn, expertos en seguridad, decidieron probar si se podía hackear un robot aspirador, y se sorprendieron con la facilidad con la que tomaron el control total de varios modelos de robot aspirador de Ecovacs. "Su seguridad es muy, muy muy, muy mala", afirma Giese en una entrevista en TechCrunch.
Ambos hackers han conseguido acceder a la cámara y el micro del robot aspirador, y grabar el interior de la casa. En la foto de apertura de la noticia puedes ver la foto de un perro, capturada desde el robot aspirador.
El sencillo hackeo de los robot aspirador de Ecovacs
Estos investigadores consiguieron acceder al robot aspirador de forma remota, a través de la conexión Bluetooth, que tiene un alcance de 130 metros.
Los robots cortacésped de Ecovacs tienen el Bluetooth activado siempre, mientras que los robot aspirador, solo durante los primeros 20 minutos tras encenderse. Y después una vez al día cuando hacen un reinicio automático.
Tras conectar con el robot, accedieron a su software a través del WiFi, que está siempre conectado en la mayoría de los modelos. Han conseguido el acceso total al sistema, así que pueden ver y escuchar a través de la cámara y el micro del robot aspirador, desde cualquier lugar del mundo, al hackear a través de WiFi.
Los robots no tienen ningún LED que indique que la cámara o el micro están funcionando. Algunos modelos sí tienen un archivo de voz que avisa cada cinco minutos de que la cámara está grabando, pero basta con borrarlo para que la grabación pase inadvertida.
Y esa no es la única vulnerabilidad de los robots aspirador de Ecovacs. Una vez dentro del robot, los hackers pueden leer las credenciales WiFi, así como los mapas de la casa.
Algunos robots tienen un sistema antirrobo que pide un PIN si no reconoce la casa, pero ese PIN está guardado en un fichero de texto sin proteger, dentro del propio robot.
También han comprobado que, cuando el usuario borra la cuenta y sus mapas, esta información no se borra de la nube de Ecovacs. Tampoco se borra el token de autentificación, así que un ciberdelincuente podría entrar en el robot, incluso tras venderse de segunda mano y usarse con otra cuenta.
Los modelos afectados por todas estas vulnerabilidades, muchos de ellos a la venta en España, son: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA, y Ecovacs Airbot ANDY.
Cuando metes un robot aspirador en casa, estás metiendo también una cámara y un micro. Si el fabricante no garantiza la máxima seguridad, es un grave problema de privacidad.