Em um intervalo de poucos dias, invasores conseguiram hackear robôs aspiradores em diversas cidades dos Estados Unidos. A ação expôs falhas de segurança no modelo Deebot X2 da marca Ecovacs, que já haviam sido alertadas por pesquisadores de segurança cibernética meses antes.
Sob controle dos invasores, os equipamentos proferiram insultos raciais e obscenidades contra os proprietários por meio de seus alto-falantes.
Em um dos casos, o dono percebeu que um estranho estava acessando a câmera do dispositivo e o controlando remotamente após acessar o aplicativo da marca em seu smartphone. Depois da redefinição da senha e do reinício do robô, o dispositivo foi novamente controlado pelo invasor.
Outros casos semelhantes foram relatados em diferentes cidades dos EUA. Em Los Angeles, por exemplo, o robô aspirador perseguiu o cachorro de seu dono enquanto emitia comentários abusivos. Cinco dias depois, em El Paso, outro dispositivo começou a proferir insultos raciais durante a noite, até ser desligado.
Vulnerabilidade conhecida
As falhas de segurança que permitiram os ataques já haviam sido identificadas por pesquisadores de segurança cibernética em dezembro de 2023. Durante uma conferência, foi demonstrado como o sistema de código PIN que protegia o acesso remoto ao dispositivo e à câmera podia ser facilmente burlado.
Os pesquisadores descobriram que o código PIN de segurança era verificado apenas pelo aplicativo, e não pelo servidor ou pelo robô, deixando o aparelho vulnerável. Eles alertaram a Ecovacs sobre o problema antes de divulgar a falha publicamente, mas a empresa não corrigiu o problema de forma satisfatória.
A Ecovacs, fabricante dos robôs aspiradores, confirmou os ataques e informou que uma atualização de segurança seria lançada em novembro. A empresa, no entanto, negou que seus sistemas tenham sido comprometidos diretamente e atribuiu os incidentes ao "credential stuffing", uma técnica em que hackers utilizam credenciais de login vazadas de outros sites e serviços para tentar acessar contas em diferentes plataformas.
Especialistas em segurança alertam para a importância de utilizar senhas fortes e únicas para cada serviço online, além de proteger as redes Wi-Fi com senhas mais robustas além da criptografia.
