Pasó la aspiradora y filtró la contraseña del Wi‑Fi: una vulnerabilidad de SharkNinja permite controlar aspiradoras ajenas por Interne

Pasó la aspiradora y filtró la contraseña del Wi‑Fi: una vulnerabilidad de SharkNinja permite controlar aspiradoras ajenas por Interne

Vulnerabilidad en la nube de SharkNinja permite controlar a distancia los robots aspiradores Shark

image

Los robots aspiradora llevan tiempo moviéndose por los hogares sin supervisión, pero en algunos modelos de Shark se abrió, junto con la limpieza, una vía imperceptible para terceros. Un especialista en seguridad descubrió vulnerabilidad crítica, que permite ejecutar comandos en los dispositivos a través de Internet, controlar su movimiento y acceder a los datos recopilados.

El problema está relacionado con el sistema en la nube SharkNinja, a través del cual los aspiradores intercambian mensajes con los servidores de Amazon. Cada aparato utiliza su propio certificado y clave privada; sin embargo, en parte de los dispositivos los permisos de acceso se configuraron incorrectamente. El certificado de un aspirador permitía suscribirse a los mensajes de otros aparatos y enviarles comandos.

Durante la comprobación, el especialista encontró en el software una función Exec_Command. El aspirador aceptaba la cadena recibida desde la nube y la pasaba al intérprete de comandos del sistema sin la verificación suficiente. Como resultado, el propietario de un dispositivo vulnerable podía ejecutar código arbitrario en otro aspirador con solo conocer su número de serie.

El especialista confirmó el ataque en dos modelos que le pertenecen: RV2320EDUS y AV1102ARUS. El certificado del primer dispositivo permitió enviar un comando al segundo y ejecutar en él un archivo de terceros. La comprobación también mostró que la vulnerabilidad funciona en diferentes modelos.

Las consecuencias no se limitan a iniciar o detener la limpieza. Algunos aspiradores están equipados con cámara y guardan el mapa de la vivienda, la contraseña de la red Wi-Fi doméstica en texto claro y otros datos de servicio. El autor de la comprobación pudo obtener imágenes de la cámara, controlar de forma remota los motores y desplazar el dispositivo por la casa.

En 24 horas de observación del nodo en la nube, el especialista registró más de 1,5 millones de dispositivos únicos. Al menos 673.816 de ellos enviaron respuestas que confirmaban el soporte del comando peligroso. El resultado obtenido corresponde solo a una región de Amazon, por lo que el número total de aparatos vulnerables puede ser significativamente mayor.

Al mismo tiempo, la configuración varía según el modelo. El certificado AV1102ARUS no permitía ver mensajes ajenos, mientras que un firmware más reciente de RV2320EDUS obtuvo permisos excesivamente amplios. Según el autor de la comprobación, la política de acceso errónea apareció más tarde y se extendió a la mayor parte de los dispositivos Shark.

Del problema se informó a SharkNinja en marzo de 2026. La empresa confirmó que recibió el material, pero tras más de cuatro meses no ha publicado una corrección ni ha fijado una fecha exacta de lanzamiento. El especialista también se dirigió a MITRE para registrar la vulnerabilidad; sin embargo, aún no se ha asignado un identificador CVE. El autor no publicó las herramientas técnicas para llevar a cabo el ataque, dado que la vulnerabilidad sigue sin corregir.