Dos vulnerabilidades presentes en robots aspiradores permiten espiar a sus usuarios y robar datos personales

Robot aspiradora Dongguan Diqee
DIQEE
Actualizado 20/07/2018 12:47:32 CET

   MADRID, 20 Jul. (Portaltic/EP) -

   La empresa de seguridad Positive Technologies ha descubierto dos vulnerabilidades en robots aspiradores que permiten a los 'hackers' conseguir acceso a la cámara y otras funciones del robot e interceptar datos enviados a través de WiFi mediante el uso de tarjetas microSD.

   Las vulnerabilidades afectan de serie al modelo Diqee 360, del fabricante chino Dongguan, y pueden extenderse también a otros modelos distribuidos por otras marcas fabricados por la compañía afectada, según ha publicado Positive Technologies en un informe.

   La compañía ha identificado dos vulnerabilidades diferentes en estos robots aspiradores. La primera está relacionada a la ejecución de códigos y comandos a distancia, que pueden otorgar al atacante derechos de usuario sobre el robot y modificar los permisos.

Para ello es necesario encontrar el dispositivo en la red al conseguir su acceso MAC y enviar una solicitud UDP para tomar su control. Al seguir estos pasos, resulta posible controlar la cámara presente en el robot y visualizar el contenido que graba. Esta cámara incluye visión noctura y puede controlar de forma remota desde el móvil.

La líder de resilencia de ciberseguridad en Positive Technologies Leigh-Anne Galloway ha asegurado que debido a esta vulnerabilidad "un ataque puede espiar al propietario de forma secreta".

   Por otro lado, la segunda vulnerabilidad permite interceptar datos que se envíen a través de la red WiFi a la que está conectado el robot, para lo que se utiliza una tarjeta microSD. Se requiere de acceso físico al dispositivo y, al conectar la tarjeta, el 'hacker' puede aprovechar las debilidades de su mecanismo de actualizaciones.

   Con la tarjeta insertada, los atacantes pueden activar archivos presentes en el 'firmware' de serie del robot con derechos de usuario sin necesidad de comprobación de firma. Tras esto, se reinicia el dispositivo y ya sería posible ejecutar 'scripts' para tomar control de sus funciones y de sus datos.

Positive Technologies ha alertado de que las vulnerabilidades pueden extenderse a otros dispositivos fabricados por Dongguan Diqee y basados en el Internet de las cosas, entre los que han resaltado las cámaras de videovigilancia, grabadores de vídeo y timbres inteligentes.