Alguém ganhou acesso a aspiradores robóticos Ecovacs Deebot X2 Omni em várias cidades dos EUA no início deste ano e os usou para perseguir animais de estimação e gritar insultos raciais para seus donos, informou a ABC News na Austrália esta semana.
O veículo conversou com vários proprietários do Deebot X2 que afirmam que seus Deebot X2 foram hackeados em maio, incluindo o advogado de Minnesota, Daniel Swenson, que disse que estava assistindo TV com sua família quando um barulho “como um sinal de rádio quebrado ou algo assim” começou a vir do alto-falante do robô. Ele disse que, depois de redefinir sua senha e reiniciar o robô, o som começou novamente, só que desta vez a voz era claramente de um adolescente gritando insultos.
A ABC News lista outros relatos semelhantes de proprietários em El Paso e Los Angeles, sendo que o último envolveu alguém usando um Deebot para antagonizar um cachorro, gritando e perseguindo-o.
A Ecovacs disse ao veículo em um comunicado que identificou um evento de preenchimento de credenciais e bloqueou o endereço IP de onde se originou. A empresa afirmou que “não encontrou evidências” de que nomes de usuários e senhas foram coletados pelo atacante.
Pesquisadores demonstraram uma falha no ano passado que permitiu que eles contornassem a entrada de PIN do Deebot X2 para ganhar acesso ao aspirador. A Ecovacs afirma em seu comunicado que resolveu isso e que também planeja “aumentar ainda mais a segurança” com uma atualização em novembro. Não está claro se isso corrigiria uma vulnerabilidade de Bluetooth que a ABC News explorou para um relatório no início deste mês.
Dispositivos de casa inteligente conectados à nuvem têm levado a histórias como essa há anos. Às vezes, é resultado de hacks, outras simplesmente credenciais comprometidas. Às vezes, é um software ruim mostrando o feed de câmera de outro proprietário, como um pequeno agrado. Questões como essas podem parecer inevitáveis quando tantos dispositivos de casa inteligente exigem uma conexão persistente à internet para funcionar, especialmente para aquelas empresas que não oferecem maneiras fáceis de relatar vulnerabilidades de segurança.