Quando Sean Kelly comprou um aspirador de pó de última geração, ele pensou que estava fazendo uma compra inteligente.
Seu Ecovacs Deebot X2 não apenas o ajudaria a manter limpa a casa onde mora com sua esposa, gêmeos e bebê de cinco meses, mas também se sentia confiante de que gastar AU$ 2.500 (cerca de US$ 1.600) garantiria que ela estivesse bem protegida contra hackers.
Mal sabia ela que o aspirador de pó que pairava sobre os pés de sua família tinha um recurso de segurança que permitiria a qualquer pessoa ver e ouvir cada movimento seu.
E essa falha não era apenas uma teoria, na verdade foi explorada por um pesquisador de segurança chamado Dennis Giese, que passou anos procurando bugs na robótica.
Giese encontrou uma maneira de operar remotamente robôs Ecovacs – incluindo cortadores de grama e aspiradores Deebot – via Bluetooth, acessando informações e funções confidenciais, incluindo uma câmera interna e um microfone.
Como qualquer pesquisador de segurança responsável, Giese informou a Ecovacs sobre a vulnerabilidade. Porém, apesar de ter sido notificado em dezembro de 2023, a falha de segurança ainda não foi corrigida.
TVs australianas ABC Notícias ele contatou Diese sobre sua descoberta e – com a permissão de Kelly – hackeou o robô.
Os repórteres não só puderam assistir Kelly fazer uma xícara de café na cozinha de seu escritório no quarto andar (sua esposa proibiu uma inspeção em casa devido a compreensíveis preocupações com a privacidade), mas também puderam falar com ele.
“Olá, Sean”, disse uma voz robótica. “Eu vejo você.”
Lembre-se, isso estava acontecendo remotamente via Bluetooth. E o repórter que hackeou o aspirador robô não estava na mesma sala, nem mesmo no mesmo escritório – mas sim no porão do parque do outro lado da rua.
Mesmo essa proximidade só foi necessária para o primeiro hack de Bluetooth do dispositivo. Uma vez importado, pode ser controlado de qualquer lugar do mundo. As imagens e o áudio foram transmitidos para um servidor nos Estados Unidos e depois retransmitidos para o apartamento de Giese em Berlim.
Giese disse que a Ecovacs não respondeu à sua divulgação da vulnerabilidade de segurança em dezembro de 2023 e, depois de divulgar alguns detalhes publicamente em uma conferência de hackers em agosto, eles inicialmente minimizaram o problema, dizendo que exigia “ferramentas especiais de hacking e acesso físico”. dispositivo.”
EU ABC Notícias o protesto, no entanto, não eles exigem acesso físico ou detecção de vácuo – e podem ser feitos com um smartphone barato.
A Ecovacs agora parece estar levando o problema a sério e diz que as atualizações de segurança começaram a ser implementadas em outros modelos e estarão disponíveis para seu Deebot X2 em novembro de 2024.
Isso não acontecerá em breve para alguns de seus clientes. Após a exibição, o franco Sean Kelly se manteve firme ao manter a privacidade de sua família em sua cara entrada robótica:
“Comecei a jogar fora o pano de prato quando não estava sendo usado.”
