Los robots aspiradores conectados a la nube de Shark están expuestos actualmente a una vulnerabilidad sin parchear en la política de IoT (Internet de las cosas) de AWS (Amazon Services) que podría convertir un dispositivo comprometido en una «llave maestra» de control remoto para muchos otros de la misma región, con acceso a cámaras, mapas y contraseñas de Wi-Fi.
Un investigador que utiliza el nombre de usuario «tokay0» desmontó un robot aspirador Shark RV2320EDUS y descubrió que su certificado integrado de AWS IoT tiene permiso para publicar y suscribirse a temas de cualquier dispositivo Shark de la misma región de AWS, y no solo de sí mismo.
Una región de AWS es una ubicación geográfica concreta en la que Amazon sus centros de datos en la nube. Cada región de AWS está completamente aislada de las demás. Actualmente hay 39 regiones de AWS en todo el mundo.
Por diseño, AWS proporciona «sombras» por dispositivo que almacenan información de estado, como la configuración y los comandos. Sin embargo, la política excesivamente permisiva de Shark para el protocolo MQTT (Message Queuing Telemetry Transport) permite que un certificado robado se comunique también con las sombras de otras aspiradoras.
En pocas palabras, esto significa que cada aspiradora debería tener su propia «bandeja de entrada» privada en la nube. Dado que las reglas de la nube de Shark son demasiado amplias, un certificado sustraído de una aspiradora también puede enviar comandos a las bandejas de entrada de otras aspiradoras.
Aunque el certificado se extrajo del dispositivo mediante acceso físico y una consola de depuración —lo que significa que la intrusión inicial requiere acceso físico—, el uso indebido posterior se realiza de forma remota y a través de la nube.
Para los propietarios, no se trata solo de que alguien ponga en marcha la aspiradora a las 3:00 de la madrugada. Según el investigador, un atacante con ese acceso a la nube podría:
- Mira las imágenes de la cámara del aspirador y conviértelo en un dispositivo de vigilancia móvil dentro de tu casa.
- Robar la contraseña del Wi-Fi, que según el investigador está almacenada en texto sin cifrar, lo que podría permitirles acceder a tu red local.
- Copia el mapa que ha elaborado el robot aspirador de tu casa, en el que se muestran la distribución de las habitaciones y la frecuencia con la que se utilizan las distintas zonas.
Ya hemos visto anteriormente cómo los aspiradores «inteligentes» pueden suponer un riesgo para la privacidad y la seguridad cuando los fabricantes escatiman en medidas de seguridad. Malwarebytes Labs explicado cómo los aspiradores robóticos de Ecovacs podrían ser pirateados para reproducir mensajes obscenos y espiar a los usuarios a través de sus altavoces y sensores, lo que demuestra lo rápido que un electrodoméstico útil puede convertirse en un invitado indeseado en casa.
Utilizando el certificado obtenido de su propio «vacuum», el investigador pudo supervisar el tráfico procedente de los dispositivos Shark en la misma región de AWS y determinar cuáles admitían la ejecución remota de comandos. Durante un periodo de 24 horas en una única región de AWS, el investigador observó 1 517 605 números de serie únicos de Shark y constató que 673 816 dispositivos (aproximadamente el 44 %) respondían de una forma que indicaba que admitían la función de ejecución remota de comandos.
El investigador escribió:
«Es difícil calcular el número exacto de dispositivos afectados y aún más difícil determinar cuáles de ellos tienen esos certificados mal configurados que permiten la publicación entre dispositivos».
Sin embargo, llegó a la conclusión de que:
«Un gran número de dispositivos IoT de SharkNinja se ven afectados por esta vulnerabilidad».
Cómo mantenerse seguro
El problema fundamental de esta cuestión es una política del lado de la nube que no es lo suficientemente estricta. Por eso se trata de un problema del lado del servidor, y no de un error de firmware que puedas solucionar tú mismo.
Según el investigador, SharkNinja no ha solucionado la vulnerabilidad a pesar de haber sido notificada hace más de seis meses. Hasta que eso cambie, los propietarios deberían:
- Presiona a Shark para que solucione el problema.
- Desactiva el control remoto del aspirador o desconéctalo de la red Wi-Fi si no necesitas sus funciones inteligentes.
- Estad atentos a los comunicados de Shark sobre correcciones, CVE o retiradas de productos.
Navega como si nadie te estuviera mirando.
Malwarebytes Privacy VPN tu conexión y nunca registra lo que haces, así que la próxima noticia que leas no tiene por qué parecerte algo personal.Pruébalo gratis →




