Hackers invadem Aspiradores-Robô para espionar famílias

23/10/2024 mindsecblog Notícias 0

Hackers invadem Aspiradores-Robô para espionar famílias, MIT já havia noticiado casos em 2022.

Desta vea a Falha de segurança no dispositivo da Ecovacs Deebot X2s aconteceu nos EUA.

 

Aspiradores de pó robóticos em várias cidades dos EUA foram hackeados no espaço de alguns dias, com o invasor controlando-os fisicamente e gritando obscenidades através de seus alto-falantes integrados.

Os robôs afetados eram todos Ecovacs Deebot X2s de fabricação chinesa – o modelo exato que a ABC conseguiu invadir como prova de uma falha crítica de segurança.

O advogado de Minnesota, Daniel Swenson, estava assistindo TV quando seu robô começou a funcionar mal.

“Parecia um sinal de rádio quebrado ou algo assim”, disse ele à ABC. “Você podia ouvir trechos de talvez uma voz.”

Por meio do aplicativo Ecovacs, ele viu que um estranho estava acessando o feed da câmera ao vivo e o recurso de controle remoto.

Descartando isso como algum tipo de falha, Swenson redefiniu sua senha, reiniciou o robô e sentou-se no sofá ao lado de sua esposa e filho de 13 anos.

Quase imediatamente, ele começou a se mover novamente.

Desta vez, não havia ambiguidade sobre o que estava saindo do alto-falante. Uma voz gritava obscenidades racistas, em alto e bom som, bem na frente do filho do Sr. Swenson.

“F *** n******s”, gritou a voz, uma e outra vez.

“Tive a impressão de que era uma criança, talvez um adolescente [falando]”, disse Swenson. “Talvez eles estivessem apenas pulando de dispositivo em dispositivo mexendo com as famílias.”

Na segunda vez, ele desligou.

 

Poderia ter sido pior

O Sr. Swenson manteve seu aspirador de pó robô no mesmo andar do banheiro principal da família.

“Nossos filhos mais novos tomam banho lá”, disse ele. “Eu só pensei nisso pegando meus filhos ou até mesmo eu, você sabe, não vestido.”

Apesar das calúnias, Swenson ficou feliz que os hackers anunciaram sua presença tão alto.

Teria sido muito pior, disse ele, se eles tivessem decidido observar silenciosamente sua família dentro de casa.

Eles poderiam ter espiado pela câmera de seu robô e ouvido pelo microfone, sem que ele tivesse a menor ideia.

“Foi um choque”, disse ele. “E então foi quase medo, nojo.”

Embora seu filho não tenha entendido muito bem a “estranheza” do encontro, Swenson não estava se arriscando.

Ele levou o dispositivo para a garagem e nunca mais o ligou.

 

Robôs hackeados em várias cidades

Várias pessoas, todas baseadas nos EUA, relataram incidentes de hackers semelhantes com poucos dias de diferença.

Em 24 de maio, no mesmo dia em que o dispositivo de Swenson foi hackeado, um Deebot X2 se rebelou e perseguiu o cachorro de seu dono em sua casa em Los Angeles.

O robô estava sendo dirigido de longe, com comentários abusivos vindos dos alto-falantes.

Tarde da noite, um robô Ecovacs em El Paso começou a vomitar calúnias raciais em seu dono até que ele o desconectou.

Não está claro quantos dos dispositivos da empresa foram hackeados no total.

Seis meses antes, pesquisadores de segurança tentaram notificar a Ecovacs sobre falhas de segurança significativas em seus aspiradores de pó e no aplicativo que os controla.

A mais grave foi uma falha no conector Bluetooth, que permitia acesso completo ao Ecovacs X2 a mais de 100 metros de distância.

Dada a natureza distribuída dos ataques, é improvável que essa vulnerabilidade tenha sido explorada neste caso.

O sistema de código PIN que protege o feed de vídeo do robô – e o recurso de controle remoto – também era conhecido por estar com defeito, e o som de aviso que deve ser reproduzido quando a câmera está sendo observada pode ser desativado de longe.

Esses problemas de segurança podem explicar como os invasores assumiram o controle de vários robôs em locais separados e como eles poderiam ter vigiado silenciosamente suas vítimas depois que elas entraram.

 

Ecovacs confirma ataque cibernético ao dispositivo

Nos dias seguintes aos incidentes com seu aspirador robô Ecovacs, Daniel Swenson fez uma reclamação à empresa.

Depois de algumas idas e vindas com a equipe de apoio, ele recebeu um telefonema de um funcionário sênior da Ecovacs baseado nos EUA.

“Ele deve ter dito três ou quatro vezes que eu deveria ter um vídeo do que aconteceu.”

“Cada vez eu dizia a ele: ‘Sim, isso seria ótimo, mas eu estava mais focado no fato de que um robô hackeado estava no meio da minha sala de estar nos observando e possivelmente nos gravando’.”

O funcionário parecia não acreditar no que estava dizendo, diz Swenson, apesar de vários outros proprietários terem relatado ataques semelhantes na mesma época.

“Isso foi um esforço para me desencorajar de prosseguir com minhas reclamações?” ele pergunta.

Após essa ligação, ele foi informado de que uma “investigação de segurança” havia sido conduzida.

Sua conta Ecovacs e sua senha foram adquiridas por uma pessoa não autorizada”, disse um representante da empresa por e-mail.

Eles também disseram que a equipe técnica da empresa identificou o endereço IP do culpado e o desativou para impedir mais acessos.

Em um e-mail posterior, eles disseram a ele que havia “uma grande possibilidade de que sua conta Ecovacs tenha sido afetada por um ataque cibernético de ‘preenchimento de credenciais'”.

É quando alguém reutiliza o mesmo nome de usuário e senha em vários sites e a combinação é roubada em um ataque cibernético separado.

A empresa disse à ABC que “não encontrou evidências” de que as contas foram hackeadas por meio de “qualquer violação dos sistemas da Ecovacs”.

 

Falha de segurança conhecida pode ser a culpada

Mesmo que o Sr. Swenson tivesse usado o mesmo nome de usuário e senha em outros sites, e se essas credenciais tivessem vazado online, isso ainda não deveria ter sido suficiente para acessar o feed de vídeo ou controlar o robô remotamente.

Esses recursos devem ser protegidos por um PIN de quatro dígitos.

No entanto, dois pesquisadores de segurança cibernética revelaram que isso poderia ser contornado em uma conferência de hackers em dezembro de 2023.

Dennis Giese e Braelynn Luedtke disseram no palco que se baseava em um “sistema de honra”.

O código PIN foi verificado apenas pelo aplicativo, e não pelo servidor ou robô. O que significa que qualquer pessoa com o conhecimento técnico pode ignorar completamente a verificação.

Eles alertaram a Ecovacs sobre o problema antes de tornar público a exploração.

Um porta-voz da Ecovacs disse que essa falha já foi corrigida, no entanto, Giese disse à ABC que a correção da empresa era insuficiente para tapar a falha de segurança.

O porta-voz também disse que a empresa “enviou um e-mail imediato” instruindo os clientes a alterar suas senhas após o incidente.

A Ecovacs disse que emitiria uma atualização de segurança para os proprietários de sua série X2 em novembro.

O Sr. Swenson disse que não foi informado da questão do código PIN em nenhuma de suas comunicações com a Ecovacs.

“Eu perguntei a eles se isso era uma coisa conhecida”, disse ele. “Se tivesse acontecido com outras pessoas.”

“Eles apenas agem chocados – como se isso não tivesse acontecido.”

Leia a declaração completa da Ecovacs aqui (download em PDF).

 

MIT já havia tido acesso a imagens similares

Em dezembro de 2022, publicamos aqui no Blog Minuto da Segurança o post “Aspirador robô fotografa mulher no banheiro“, onde informamos que o MIT Technology Review teve acesso a 15 imagens que circularam em fóruns e redes sociais na Venezuela.

O aspirador robô Roomba J7 da iRobot capturou imagens de uma mulher no vaso sanitário e as fotos acabaram na internet. De acordo com a empresa, o caso aconteceu em 2020 e só foi possível graças a uma versão do robô aspirador com modificações de software, que não estão presentes nos produtos para consumidores.

MIT Technology Review teve acesso a 15 imagens que circularam em fóruns e redes sociais na Venezuela. As imagens, na sua maioria mundanas, incluindo fotos de cachorros, mobília e também da mulher no vaso sanitário foram enviadas a startup Scale AI, responsável por contratar trabalhadores ao redor do mundo com a intenção de rotular dados de áudio, foto e vídeo utilizados no treino de IAs. Segundo a fabricante, os usuários estavam cientes das gravações e que a versão modificada do dispositivo não é comercializada no mercado. Apesar disso, não há explicações sobre como as fotos acabaram na internet.

No outono de 2020, funcionários de shows na Venezuela postaram uma série de imagens em fóruns online onde se reuniram para conversar sobre trabalho. As fotos eram cenas domésticas mundanas, embora às vezes íntimas, capturadas de ângulos baixos – incluindo algumas que você realmente não gostaria de compartilhar na Internet. 
Em uma cena particularmente reveladora, uma jovem com uma camiseta lilás está sentada no vaso sanitário, o short puxado até o meio da coxa.
As imagens não foram tiradas por uma pessoa, mas por versões de desenvolvimento do robô aspirador da série Roomba J7 da iRobot. Eles foram então enviados para a Scale AI, uma startup que contrata trabalhadores em todo o mundo para rotular dados de áudio, foto e vídeo usados ​​para treinar inteligência artificial.

fonte: ABC News 

Veja também:

About mindsecblog 2731 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Deixe sua opinião!