Hack de aspiradora robótica permite escuchar las conversaciones de cualquier persona de forma remota a pesar de no tener un micrófono

Un grupo de especialistas descubrió que algunos modelos de aspiradora robótica podrían ser abusados por actores de amenazas para escuchar las conversaciones privadas de los usuarios de forma remota. Los expertos lograron acceder a las lecturas Lidar de un limpiador Xiaomi Roborock, que ayuda al dispositivo a no chocar con los muebles.

Lidar es un método para medir distancias a través de rayos láser, aunque también puede capturar señales de sonido al obtener reflejos de objetos alrededor del dispositivo, los cuales vibran debido a fuentes de sonido cercanas, como la voz de una persona.

Según el reporte, los actores de amenazas podrían abusar del sensor Lidar para detectar señales acústicas en el ambiente, recopilado sus datos de forma remota y procesar la señal empleando técnicas “deep learning” para extraer datos de audio. Un ataque exitoso permitiría extraer información del dispositivo y registrar las conversaciones de los usuarios, lo que podría exponer información confidencial.

Los expertos enfatizan en el serio problema que representa este ataque, pues incluso un dispositivo inteligente sin micrófono incorporado puede ser usado para espiar a los usuarios: “Estamos abriendo las puertas de nuestra casa a los intrusos sin siquiera notarlo”, asegura el especialista en seguridad Nirupam Roy.

Además, Lidar permite que estos dispositivos construyan mapas de la casa de cada usuario, información que es almacenada en la nube. Esta práctica representa un riesgo de brecha de datos que podría exponer a los usuarios afectados a campañas de publicidad invasiva e incluso comprometer la integridad física y la seguridad de los usuarios.

Sobre el ataque, los expertos mencionan que este método de hacking se relaciona con la manipulación de la tecnología Lidar: “Los sistemas de navegación de estas aspiradoras hacen brillar un rayo láser alrededor de una habitación, detectando el reflejo del láser cuando rebota en los objetos cercanos”, menciona el reporte.  El ataque funciona del mismo modo que un micrófono láser, que proyecta una luz sobre un objeto colocado cerca de una fuente de sonido y mide esta vibración para recuperar la fuente de audio.

Los expertos dicen que una señal dispersa recibida por el sensor de vacío proporciona solo una fracción de la información necesaria para recuperar las ondas sonoras. En las pruebas, los investigadores hackearon una aspiradora para controlar la posición del rayo láser y enviar los datos detectados a sus computadoras a través de WiFi sin interferir con la navegación del dispositivo.