El robot valencià Conga sap com és casa teva i en guarda el mapa al núvol

Un informàtic mallorquí descobreix que la seva aspiradora intel·ligent envia periòdicament plànols del seu habitatge, sense xifrar-los, a un servidor nord-americà de l’empresa xinesa Alibaba

La Conga no només és un ball un punt ridícul, també és el nom d’un robot aspirador que ven l’empresa valenciana Cecotec i que fa la competència a l’arxiconeguda Roomba. Però aquest robot no neteja terres i prou. Alguns models tenen connexió a internet, per manejar-los a distància amb una aplicació de mòbil. I, mentre ballen traient la pols de les rajoles, fan mapes de les cases dels seus clients, es connecten a internet i els guarden al núvol, en un servidor als Estats Units de l’empresa xinesa Alibaba, segons ha denunciat un grup d’experts en seguretat informàtica. Afirmen que fins aquesta setmana ho feien amb un sistema tan poc segur que qualsevol amb prou coneixements tècnics podia accedir als mapes de totes les aspiradores. Ho va fer públic dimecres el compte de Twitter del congrés de seguretat informàtica més veterà d’Espanya, el NoConName. L’empresa els va contestar l’endemà, agraint-los que els haguessin “ajudat a detectar un error de seguretat” i afirmant que l’havien “solucionat immediatament”.

Qui ho va descobrir va ser l’informàtic mallorquí Joan Massanet, que és soci de l’empresa de ciberseguretat W2Connect. Es va comprar una Conga 4090 per fer neta casa seva, però es va adonar que alguna cosa no funcionava com tocava. “Tenc una xarxa wifi amb una sèrie de restriccions només per a dispositius de IoT (de la internet de les coses), perquè sé com poden ser de perillosos, i vaig veure que la Conga feia connexions a un servidor als EUA i intentava enviar-hi arxius”, explica. L’aspiradora es connectava periòdicament amb el protocol FTP, que empra un canal sense xifrar, i va decidir parar-li una trampa per mirar què enviava. Va muntar un servidor, expressament, i va fer creure a la Conga que era el servidor nord-americà.

“Així vaig poder atrapar els arxius sense fer cap intromissió il·legal i vaig aconseguir un fitxer amb el que semblaven dades de mapeig, coordenades, i un altre amb un registre de tot el que feia la màquina: si xocava amb la paret, si aixecava la roda, etc.”, explica Massanet. Ho va comentar als seus col·legues de l’associació NoConName, que varen indagar una mica més i varen veure que el servidor al qual s’enviaven les dades era propietat de l’empresa xinesa Alibaba, però estava situat als EUA. A més, varen comprovar que quan l’aspiradora intel·ligent es connectava al servidor enviava l’usuari i la contrasenya per accedir-hi, de manera que qualsevol que en tingués una -i prou coneixements tècnics- podia aconseguir descarregar-se tots els mapes emmagatzemats al servidor. L’usuari i la contrasenya tampoc ho posaven difícil: tots dos eren “admin”.

Fonts de Cecotec han assegurat a l’ARA Balears que la seguretat és una de les prioritats de l’empresa i que per això varen resoldre aquest “error” en tan sols vint minuts així que en varen tenir coneixement. Expliquen que han ofert un acord de col·laboració a NoConName, perquè els ajudin a millorar la seguretat dels seus productes, però asseguren que en cap moment no hi ha hagut cap filtració de dades personals dels seus clients, ni s’ha corregut aquest perill. Un portaveu de l’empresa reconeix que les aspiradores envien els recorreguts que fan però manté que la informació que emmagatzemen no són dades personals ni inclou noms o adreces físiques, i que només la registren per controlar els errors de les seves màquines.

Vigilància nord-americana

Un dels membres de NoConName, el consultor en seguretat informàtica José Nicolás Castellano -que també és mallorquí-, recorda que el Tribunal de Justícia de la Unió Europea va declarar il·legal la setmana passada l’acord entre la UE i els EUA per transferir dades personals dels ciutadans de la Unió. La sentència dictaminava que l’anomenat ‘escut de privacitat’ no posava prou límits als programes de vigilància de l’administració nord-americana i, per tant, no oferia prou garanties d’intimitat als ciutadans europeus.

Però l’avís del tribunal europeu no és gratuït, i pot tenir implicacions en aquest cas. “He fet un ‘trace route’ per comprovar per quins dispositius passa la informació que envia l’aspiradora i he pogut comprovar que just el dispositiu anterior al servidor de destinació és propietat del Departament de Defensa dels Estats Units”, explica Castellano. En concret, l’adreça està registrada al Network Information Center (DNIC). Això Castellano ho veu com a mínim “poc habitual”. I afegeix: “Sumat al fet que les dades es trameten amb un canal sense xifrar, em fa pensar que algú està aprofitant-se’n”.

L’empresa fabrica els seus dissenys a la Xina, no se n’amaga, i diversos mitjans especialitzats en tecnologia han destacat sovint la seva semblança amb models de Xiaomi. “Hi ha aparells de Xiaomi que també envien informació sobre la xarxa wifi a la qual es connecten, com les adreces MAC i IP del router, i fins i tot les coordenades”, afegeix, Castellano. Una portaveu de Cecotec nega que s’enviïn coordenades dels router però admet que sí que es guarden les adreces MAC i IP, encara que assegura que no són adreces físiques i no permeten saber on viuen els usuaris i, per tant, no són dades personals. Amb l’adreça IP, amb tot, sí que es pot arribar a tenir una idea aproximada de la zona on és un aparell. I Castellano explica que, amb l’adreça MAC -una mena de matrícula per cada aparell que es connecta- un expert pot aconseguir-ne la posició amb força exactitud.

De què podria servir saber tota aquesta informació? “Coneixent la mida de les cases i on estan situades, per exemple, es pot saber el nivell adquisitiu d’aquella persona; això té molt de valor amb vista a estratègies de màrqueting”, afegeix Castellano. Cecotec manté que en cap cas cedeix o ven les dades que recullen les seves màquines a terceres empreses.

De moment tot això ha quedat aturat: sembla que Cecotec ha tancat la connexió amb el servidor. “Des que varen tancar l’FTP no tenc disponibilitat del mapa a l’aplicació mòbil, cada vegada que activ la Conga em genera un mapa nou. S’intenta connectar, però el servidor li retorna un reset ”, explica Massanet. Fonts de l’empresa, per la seva banda, asseguren que han resolt el problema, però no concreten com.

EDICIÓ PAPER 26/09/2020

Consultar aquesta edició en PDF