Pesquisadores de segurança cibernética descobriram que robôs domésticos fabricados pela Ecovacs, incluindo aspiradores de pó e cortadores de grama, apresentam sérias vulnerabilidades que podem ser exploradas por hackers mal-intencionados.
Essas falhas permitem que invasores assumam o controle dos dispositivos, utilizando suas câmeras e microfones para espionar os usuários sem que eles percebam.
Os pesquisadores Dennis Giese e Braelynn, que apresentarão suas descobertas na conferência de hacking Def Con, identificaram uma série de problemas nesses robôs.
Entre as vulnerabilidades encontradas, destaca-se a capacidade de hackers se conectarem aos dispositivos via Bluetooth, de até 130 metros de distância, e, a partir daí, controlá-los remotamente pela internet.
Isso é possível porque os robôs são conectados via Wi-Fi, permitindo que os invasores acessem as câmeras, microfones e até os mapas de salas salvos nos dispositivos Ecovacs.
Os pesquisadores alertam que os robôs, incluindo modelos como Deebot e Goat, não possuem indicadores visíveis para avisar os usuários quando suas câmeras e microfones estão ativos.
Em alguns modelos, há um áudio que deveria tocar a cada cinco minutos para informar que a câmera está ligada, mas os hackers podem facilmente apagar ou sobrescrever esse arquivo, mantendo-se indetectáveis.
Falhas de segurança e riscos de espionagem
Além dos riscos de invasão e espionagem, Giese e Braelynn encontraram outros problemas graves nos dispositivos da Ecovacs.
Por exemplo, os dados armazenados nos robôs permanecem nos servidores em nuvem da empresa mesmo após a exclusão da conta do usuário, permitindo que alguém acesse os dados de um robô de segunda mão.
Além disso, o mecanismo antirroubo dos cortadores de grama da Ecovacs é facilmente comprometido, já que o PIN necessário para desbloquear o dispositivo é armazenado em texto simples.
O portal TechCrunch, que publicou a matéria originalmente, tentou entrar em contato com a Ecovacs, que não respondeu aos pedidos de comentários sobre as vulnerabilidades relatadas, e até o momento, não há evidências de que as falhas tenham sido corrigidas.
Giese e Braelynn disseram que analisaram os seguintes dispositivos Ecovacs: Deebot Série 900, Deebot N8/T8, Deebot N9/T9, Deebot N10/T10, Deebot X1, Deebot T20, Deebot X2, Goat G1, Spybot Airbot Z1, Airbot AVA e Airbot ANDY.
