Una falla nel sistema Shark Vacuum espone telecamere, mappe domestiche e password Wi-Fi

| 17 luglio 2026
Logo dello squalo

I robot aspirapolvere connessi al cloud di Shark sono attualmente esposti a una vulnerabilità non corretta nella politica IoT (Internet of Things) di AWS (Amazon Services) che potrebbe trasformare un dispositivo compromesso in una “chiave universale” per il controllo remoto di molti altri dispositivi nella stessa regione, con accesso a telecamere, mappe e password Wi-Fi.

Un ricercatore con lo pseudonimo tokay0 ha smontato un robot aspirapolvere Shark RV2320EDUS e ha scoperto che il certificato AWS IoT integrato nel dispositivo è autorizzato a pubblicare e sottoscrivere argomenti relativi a qualsiasi dispositivo Shark presente nella stessa regione AWS, non solo a se stesso.

Una regione AWS è un'area geografica ben definita in cui Amazon i propri data center cloud. Ogni regione AWS è completamente isolata dalle altre. Attualmente esistono 39 regioni AWS in tutto il mondo.

Per impostazione predefinita, AWS fornisce delle “ombre” per ciascun dispositivo che memorizzano informazioni quali la configurazione e i comandi. Tuttavia, la politica eccessivamente permissiva di Shark relativa al protocollo MQTT (Message Queuing Telemetry Transport) consente a un certificato rubato di comunicare anche con le ombre di altri aspirapolvere.

In parole povere, ciò significa che ogni aspirapolvere dovrebbe avere una propria “casella di posta in arrivo” privata nel cloud. Poiché le regole di Shark relative al cloud sono troppo generiche, un certificato rubato da un aspirapolvere può inviare comandi anche alle caselle di posta in arrivo di altri aspirapolvere.

Sebbene il certificato sia stato estratto dal dispositivo tramite accesso fisico e una console di debug — il che significa che la compromissione iniziale richiede un accesso diretto —, l’abuso successivo avviene da remoto e tramite il cloud.

Per i proprietari, non si tratta solo del fatto che qualcuno accenda l'aspirapolvere alle 3:00 del mattino. Secondo il ricercatore, un malintenzionato in possesso di tale accesso al cloud potrebbe:

  • Guarda le immagini riprese dalla telecamera dell'aspirapolvere, trasformandolo in un dispositivo di sorveglianza portatile all'interno della tua casa.
  • Rubare la password del Wi-Fi, che secondo il ricercatore è memorizzata in chiaro, potrebbe consentire loro di ottenere un punto d’appoggio sulla rete locale.
  • Copia la mappa della tua casa realizzata dall'aspirapolvere robot, che mostra la disposizione delle stanze e la frequenza di utilizzo delle diverse aree.

Abbiamo già visto in precedenza come i robot aspirapolvere “intelligenti” possano rappresentare un rischio per la privacy e la sicurezza quando i produttori lesinano sulla sicurezza. Malwarebytes Labs illustrato come i robot aspirapolvere Ecovacs possano essere compromessi per riprodurre messaggi osceni e spiare gli utenti tramite altoparlanti e sensori, dimostrando quanto velocemente un utile elettrodomestico possa trasformarsi in un ospite indesiderato.

Utilizzando il certificato ottenuto dal proprio sistema di monitoraggio, il ricercatore è riuscito a monitorare il traffico proveniente dai dispositivi Shark nella stessa regione AWS e a determinare quali di essi supportassero l’esecuzione di comandi remoti. Nel corso di un periodo di 24 ore in una singola regione AWS, il ricercatore ha rilevato 1.517.605 numeri di serie univoci di dispositivi Shark e ha osservato che 673.816 dispositivi (circa il 44%) rispondevano in modo tale da indicare il supporto della funzionalità di esecuzione di comandi remoti.

Il ricercatore ha scritto:

«È difficile stimare il numero esatto dei dispositivi interessati e ancora più difficile individuare quali dispositivi presentino questi certificati configurati in modo errato che consentono la pubblicazione tra dispositivi diversi.»

Ha però concluso che:

«Un numero molto elevato di dispositivi IoT SharkNinja è interessato da questa vulnerabilità.»

Come stare al sicuro

Il problema alla base di questa questione è una politica lato cloud non sufficientemente rigorosa. Ciò rende il problema di natura server-side, non un bug del firmware che si possa correggere autonomamente.

Secondo il ricercatore, SharkNinja non ha risolto la vulnerabilità nonostante ne fosse stata informata più di sei mesi fa. Finché la situazione non cambierà, i proprietari dovrebbero:

  • Esercitate pressione su Shark affinché risolva il problema.
  • Disattiva il controllo remoto dell'aspirapolvere oppure disconnettilo dal Wi-Fi se non ti servono le sue funzioni smart.
  • Restate aggiornati sugli annunci di Shark relativi a correzioni, CVE o richiami.

Naviga come se nessuno ti guardasse. 

Malwarebytes Privacy VPN la tua connessione e non registra mai le tue attività, così la prossima notizia che leggerai non ti sembrerà una questione personale.Provalo gratis → 

Informazioni sull'autore

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.