Robôs aspiradores da marca Ecovacs foram hackeados em algumas cidades dos Estados Unidos. Os invasores controlaram os dispositivos remotamente e foram capazes de proferir insultos raciais e obscenidades através dos alto-falantes.
Os casos aconteceram em um intervalo de poucos dias, expondo falhas de segurança do modelo Deebot X2. Pesquisadores de segurança cibernética alertaram meses antes sobre a possibilidade da tecnologia ser hackeada.
Siga nosso canal no WhatsApp e receba em primeira mão notícias relevantes para o seu dia
Hackers xingaram criança
Daniel Swenson, advogado de Minnesota, relatou ao portal australiano "ABC News" que seu robô aspirador começou a funcionar de maneira estranha. Ao checar o aplicativo da Ecovacs, Swenson percebeu que um estranho estava acessando a câmera do dispositivo e controlando-o remotamente.
O proprietário decidiu trocar a senha e reiniciar o robô. No entanto, isso não impediu que o dispositivo fosse novamente controlado pelo hacker, que passou a proferir insultos raciais através dos alto-falantes, na frente do filho de 13 anos do advogado. Desde então. o Deebot X2 foi desligado e guardado na garagem.
Casos semelhantes foram relatados em diferentes cidades dos EUA. Em Los Angeles, no mesmo dia do incidente em Minnesota, um robô aspirador começou a perseguir o cachorro de seu dono enquanto emitia comentários abusivos. Em El Paso, outra unidade da tecnologia passou a insultar racialmente o proprietário, que decidiu desativá-la.
Segurança frágil
As falhas de segurança que permitiram os ataques foram identificadas em dezembro de 2023. Os pesquisadores de segurança cibernética Dennis Giese e Braelynn Luedtke demonstraram, durante uma conferência, como o sistema de código PIN - que protege o acesso remoto ao dispositivo e sua câmera - poderia ser facilmente contornado.
O código de segurança que dá acesso ao robô aspirador era verificado apenas pelo aplicativo, não passando pelo servidor ou pelo próprio dispositivo. Sendo assim, qualquer pessoa com conhecimento técnico poderia ter acesso aos recursos da tecnologia. Os pesquisadores informaram a Ecovacs sobre o problema antes de divulgar a falha publicamente, mas a empresa não corrigiu o problema de forma satisfatória.
A fabricante dos dispositivos confirmou os ataques e informou que uma atualização de segurança seria lançada em novembro. Ainda assim, a Ecovacs negou que os sistemas tenham sido comprometidos diretamente e atribuiu os incidentes ao “credential stuffing”, técnica em que invasores utilizam credenciais de login vazadas de outros sites e serviços para tentar acessar contas em diferentes plataformas.
Autoridades em proteção de dados online alertam para a importância de utilizar senhas fortes e únicas para cada serviço online. Além disso, é necessário colocar senhas robustas nas redes Wi-Fi.