A principios de este mes, investigadores de seguridad advirtieron que una serie de fallas de seguridad en los robots aspiradores y cortadores de césped fabricados por Ecovacs podrían permitir a los piratas informáticos espiar a sus propietarios a través de los micrófonos y cámaras de los dispositivos.
En ese momento, Ecovacs le dijo a TechCrunch que concluyó que las fallas encontradas por los investigadores “son extremadamente raras en entornos de usuarios típicos y requieren herramientas de piratería especializadas y acceso físico al dispositivo”.
“Por lo tanto, los usuarios pueden estar tranquilos de que no necesitan preocuparse excesivamente por esto”, se lee en la declaración enviada por correo electrónico, negándose a comprometerse a solucionar las vulnerabilidades.
Dos semanas después, Ecovacs cambió de opinión y les dijo a los investigadores y a TechCrunch que, en realidad, la compañía solucionaría los errores.
“Hemos llevado a cabo una verificación y un autoexamen exhaustivos. Hemos identificado varias áreas en las que hay margen de mejora”, dijo Martin Ma, director del comité de seguridad de Ecovacs, a TechCrunch en un correo electrónico. “En respuesta, hemos iniciado mejoras específicas y abordado los problemas detectados”.
Contáctenos
¿Tiene más información sobre fallas en Ecovacs u otros robots domésticos conectados a Internet? Desde un dispositivo que no sea de trabajo, puede comunicarse de forma segura con Lorenzo Franceschi-Bicchierai en Signal al +1 917 257 1382, o a través de Telegram y Keybase @lorenzofb, o por correo electrónico. También puede comunicarse con TechCrunch a través de SecureDrop.
El 10 de agosto, los investigadores de seguridad Dennise Giese y Braylinn dio una charla En la conferencia anual de hackers Def Con en Las Vegas, ambos comentaron que analizaron 11 dispositivos Ecovacs y encontraron varios fallos.
Según los expertos, la vulnerabilidad más importante es la que permite a cualquier persona que utilice un teléfono conectarse a un robot Ecovacs a través de Bluetooth desde una distancia de hasta 450 pies (unos 130 metros) y tomar el control de los dispositivos. Esta falla permitiría a los piratas informáticos monitorear los robots desde cualquier lugar, ya que están conectados a Internet a través de Wi-Fi.
Otras fallas incluían un error que permitiría a alguien acceder a una aspiradora robot después de venderla y eliminar su cuenta, lo que significa que luego podría espiar a los nuevos propietarios de un dispositivo, según los investigadores.
En un correo electrónico enviado a Giese el 16 de agosto y compartido con TechCrunch, Ma, de Ecovacs, mencionó que la charla de los investigadores en Def Con “captó mi atención”. Por eso, continúa el correo electrónico, Ma pidió al equipo de seguridad de Ecovacs que recuperara la correspondencia que la empresa tenía con los investigadores. Ma dijo que la empresa “pasó por alto inadvertidamente” los correos electrónicos de los investigadores de diciembre de 2023.
“Hemos revisado cuidadosamente los puntos planteados en los correos electrónicos anteriores y las demostraciones en Def Con 2024, y hemos realizado una verificación y un autoexamen en profundidad”, dijo Ma, y agregó que la compañía solucionará los problemas en dos modelos de Ecovacs (el Goat G1 y el X1) y en la aplicación Ecovacs.
“Nuestro equipo técnico ha valorado y apreciado enormemente su análisis. Sus opiniones son inestimables para salvaguardar la seguridad y la integridad de nuestros productos y contribuyen significativamente a la industria de la electrónica de consumo en su conjunto”, escribió Ma. “En última instancia, serán los consumidores en general los que más se beneficiarán de su dedicación”.