Falha no aspirador Shark expõe câmaras, mapas da casa e palavras-passe de Wi-Fi

| 17 de julho de 2026
Logótipo do tubarão

Os aspiradores robóticos da Shark, ligados à nuvem, estão atualmente expostos a uma falha não corrigida na política de IoT (Internet das Coisas) da AWS (Amazon Services), que poderia transformar um dispositivo comprometido numa «chave mestra» de controlo remoto para muitos outros na mesma região, com acesso a câmaras, mapas e palavras-passe de Wi-Fi.

Um investigador com o nome de utilizador «tokay0» desmontou um aspirador robô Shark RV2320EDUS e descobriu que o certificado AWS IoT incorporado no aparelho está autorizado a publicar e subscrever tópicos relativos a qualquer dispositivo Shark na mesma região da AWS, e não apenas a si próprio.

Uma região da AWS é uma localização geográfica distinta onde Amazon os seus centros de dados na nuvem. Cada região da AWS está completamente isolada das outras. Existem atualmente 39 regiões da AWS em todo o mundo.

Por definição, a AWS fornece «sombras» por dispositivo que armazenam informações de estado, tais como configurações e comandos. No entanto, a política excessivamente permissiva do Shark relativa ao Message Queuing Telemetry Transport (MQTT) permite que um certificado roubado comunique também com as sombras de outros aspiradores.

Em termos simples, isto significa que cada aspirador deve ter a sua própria «caixa de entrada» privada na nuvem. Como as regras da nuvem da Shark são demasiado abrangentes, um certificado roubado de um aspirador também pode enviar comandos para as caixas de entrada de outros aspiradores.

Embora o certificado tenha sido extraído do sistema «vacuum» através de acesso físico e de uma consola de depuração — o que significa que a invasão inicial requer acesso físico —, o abuso subsequente é remoto e baseado na nuvem.

Para os proprietários, não se trata apenas de alguém ligar o aspirador às 3h00 da manhã. Segundo o investigador, um invasor com esse acesso à nuvem poderia:

  • Veja as imagens da câmara do aspirador, transformando-o num dispositivo de vigilância móvel dentro da sua casa.
  • Roubar a palavra-passe do Wi-Fi, que, segundo o investigador, está armazenada em texto simples, o que lhes pode dar acesso à sua rede local.
  • Copie o mapa da sua casa feito pelo aspirador, que revela a disposição das divisões e a frequência com que as diferentes áreas são utilizadas.

Já vimos anteriormente como os aspiradores «inteligentes» podem tornar-se riscos para a privacidade e a segurança quando os fabricantes poupam na segurança. Malwarebytes Labs como os aspiradores robóticos da Ecovacs podiam ser pirateados para reproduzir mensagens obscenas e espiar os utilizadores através dos seus altifalantes e sensores, demonstrando a rapidez com que um eletrodoméstico útil pode tornar-se um hóspede indesejado em casa.

Utilizando o certificado do seu próprio aspirador, o investigador conseguiu monitorizar o tráfego proveniente de dispositivos Shark na mesma região da AWS e determinar quais deles suportavam a execução remota de comandos. Durante um período de 24 horas numa única região da AWS, o investigador observou 1 517 605 números de série únicos de dispositivos Shark e constatou que 673 816 dispositivos (cerca de 44 %) responderam de forma a indicar que suportavam a funcionalidade de execução remota de comandos.

O investigador escreveu:

«É difícil estimar o número exato de dispositivos afetados e ainda mais difícil identificar quais são os dispositivos que possuem esses certificados mal configurados que permitem a publicação entre dispositivos.»

Mas concluiu que:

«Um número muito elevado de dispositivos IoT da SharkNinja está afetado por esta vulnerabilidade.»

Como se manter seguro

O problema central desta questão reside numa política do lado da nuvem que não é suficientemente rigorosa. Isso faz com que se trate de um problema do lado do servidor, e não de um erro de firmware que possa corrigir por conta própria.

Segundo o investigador, a SharkNinja ainda não corrigiu a vulnerabilidade, apesar de ter sido notificada há mais de seis meses. Até que a situação mude, os proprietários devem:

  • Exerça pressão sobre a Shark para que resolva o problema.
  • Desative o controlo remoto do aspirador ou desligue-o do Wi-Fi se não precisar das suas funcionalidades inteligentes.
  • Fique atento aos comunicados da Shark sobre correções, CVE ou recolhas de produtos.

Navegue como se ninguém estivesse a ver. 

VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente → 

Sobre o autor

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.