Empresa sabia de falhas de segurança em dispositivos, incluindo alto-falantes, mas não corrigiu, comprometendo credenciais de login e código PIN.
Os robôs aspiradores da marca Ecovacs, modelo Deebot X2, foram alvo de ataques cibernéticos em várias cidades dos Estados Unidos, permitindo que os invasores assumissem o controle remoto dos dispositivos e utilizassem seus alto-falantes para proferir insultos raciais e obscenidades, além de causar desconforto e medo entre os proprietários.
Esses ataques destacam a vulnerabilidade dos robôs e outros equipamentos inteligentes, que podem ser facilmente comprometidos por hackers mal-intencionados. Além disso, os dispositivos e aparelhos conectados à internet podem ser transformados em ferramentas de assédio e intimidação, colocando em risco a segurança e a privacidade dos usuários. É fundamental que as empresas de tecnologia, como a Ecovacs, tomem medidas para proteger seus produtos e garantir a segurança dos robôs e outros equipamentos.
Incidentes com robôs aspiradores expõem falhas de segurança
Em um intervalo de poucos dias, vários incidentes envolvendo robôs aspiradores foram relatados, destacando vulnerabilidades no modelo que haviam sido alertadas por especialistas em segurança cibernética meses antes. Daniel Swenson, um advogado de Minnesota, relatou que seu robô aspirador começou a funcionar de forma errática enquanto ele assistia televisão. Ao verificar o aplicativo Ecovacs em seu celular, Swenson percebeu que um estranho estava acessando a câmera do dispositivo e o controlando remotamente.
O robô aspirador em questão foi criado com base no dróide R2-D2, da saga Star Wars, segundo a criadora Helen Greiner. Após redefinir a senha e reiniciar o robô, o dispositivo foi novamente controlado pelo invasor, que passou a proferir insultos raciais através dos alto-falantes, na frente do filho de 13 anos de Swenson. Outros casos semelhantes foram relatados em diferentes cidades dos EUA, incluindo Los Angeles e El Paso, onde os robôs aspiradores Deebot X2 e outros dispositivos começaram a proferir insultos raciais e a perseguir animais de estimação.
Artigos Relacionados
Falhas de segurança conhecidas e negligenciadas
As falhas de segurança que permitiram os ataques já haviam sido identificadas por pesquisadores de segurança cibernética em dezembro de 2023. Dennis Giese e Braelynn Luedtke demonstraram durante uma conferência como o sistema de código PIN que protegia o acesso remoto ao dispositivo e à câmera podia ser facilmente contornado. Os pesquisadores descobriram que o código PIN de segurança era verificado apenas pelo aplicativo, e não pelo servidor ou pelo robô. Isso significa que qualquer pessoa com conhecimento técnico poderia contornar a verificação e acessar o dispositivo e sua câmera remotamente.
Eles alertaram a Ecovacs sobre o problema antes de divulgar a falha publicamente, mas a empresa não corrigiu a vulnerabilidade de forma satisfatória. A Ecovacs, fabricante dos robôs aspiradores, confirmou os ataques e informou que uma atualização de segurança seria lançada em novembro. No entanto, a empresa negou que seus sistemas tenham sido comprometidos diretamente e atribuiu os incidentes ao ‘credential stuffing’, uma técnica em que hackers utilizam credenciais de login vazadas de outros sites e serviços para tentar acessar contas em diferentes plataformas.
Preocupações com a privacidade e segurança
Os incidentes geraram preocupações sobre a privacidade dos usuários, já que os robôs aspiradores possuem câmeras e microfones que podem ser acessados remotamente. Especialistas em segurança alertam para a importância de utilizar senhas fortes e únicas para cada serviço online, além de proteger as redes Wi-Fi com senhas mais robustas e criptografia. Além disso, é fundamental que as empresas de tecnologia, como a Ecovacs, tomem medidas para corrigir as vulnerabilidades de segurança e proteger os dispositivos e equipamentos de seus usuários.
Fonte: @ Estadão
Comentários sobre este artigo