Dos franceses ‘hackean’ el robot de cocina de Lidl y encuentran un micrófono oculto
Monsieur Cuisine Connect tiene un sistema operativo que no se actualiza desde octubre de 2017.
Alexis Viguié y Adrien Albisetti son dos franceses aficionados a la informática. Hace unos días un amigo les propuso un desafío: instalar un videojuego en el robot de cocina de Lidl. El dispositivo se llama Monsieur Cuisine Connect y es la competencia low cost de la popular Thermomix. Viguié y Albisetti se pusieron manos a la obra. Pero al intentar hackear el dispositivo, encontraron algo que no esperaban: el robot de cocina contaba con un micrófono oculto. Además, tenía un sistema operativo que no se actualiza desde octubre de 2017.
“No creemos que Lidl tenga la voluntad de espiarnos”, explica a este periódico Albisetti. Este hombre de 30 años vive en Rennes y acaba de terminar sus estudios de administrador de sistemas informáticos. Aunque ha usado poco el robot de cocina, afirma que “funciona muy bien”. Pero considera muy importante que se sepa “que la versión de Android es antigua y vulnerable a los piratas que podrían tomar el control del dispositivo y escuchar el sonido de ambiente a través del micrófono”. El riesgo, según sostiene, “es limitado”: “El acceso al micrófono y otras funciones vulnerables solo es posible cuando el robot está encendido, por lo que es importante pensar en apagarlo cuando no lo usamos”.
Lidl ha afirmado a EL PAÍS que el micrófono está desactivado y “la seguridad de la Monsieur Cuisine está garantizada”. El micrófono, según sostiene, está pensado “para futuras funcionalidades como el control de voz, tal y como ya sucede con otros electrodomésticos de características similares que también se comercializan en España”. “Si el control de voz llegara a habilitarse en el futuro mediante una actualización del software, el micrófono solo podrá activarse bajo expreso consentimiento del usuario. Actualmente, solo un uso fraudulento y malintencionado del producto puede activar el micrófono”, ha explicado la compañía.
Monsieur Cuisine Connect es una versión mejorada de la primera generación del producto que se lanzó en 2016. El robot de cocina, diseñado en Alemania y producido en China por la marca SilverCrest, cuenta con una pantalla táctil de siete pulgadas y se conecta a Internet por wifi para descargar recetas. El robot de cocina se comercializa en muchos de los países en los que Lidl tiene presencia como el Reino Unido, Francia y Alemania. En España es la segunda vez que se comercializa. El año pasado fue la primera y se vendieron 25.000 unidades, según la compañía. Este año se ha puesto a la venta el triple de unidades, que han podido adquirirse tanto por Internet —agotándose las existencias en tan solo 48 horas, según Lidl— como en tienda.
El videojuego que debían instalar en el robot de cocina se llama Doom. Hay toda una comunidad de aficionados a la informática que tratan de instalar este videojuego en toda clase de dispositivos. Ambos amigos no habían realizado antes un desafío de este tipo. “Es la primera vez que instalo Doom en un dispositivo que no está previsto para ello. Pero suelo entretenerme desbloqueando dispositivos de Android”, ha explicado Viguié, que tiene 21 años y estudia para ser administrador de sistemas informáticos. A Albisetti también le gusta experimentar y “jugar” con todo tipo de aparatos.
La compañía no menciona ni en el sitio web ni en las instrucciones de uso la existencia de este micrófono, según explican ambos jóvenes
Al intentar instalar Doom en el robot de cocina, apenas tardaron unos minutos en descubrir que la pantalla táctil del aparato se ejecuta sobre Android 6.0, una versión que no se actualiza desde octubre de 2017 y que, por lo tanto, podría estar expuesta a vulnerabilidades de seguridad. El director ejecutivo de marketing de Lidl en Francia, Michel Biero, ha confirmado a la web de ciencia y tecnología francesa Numerama, que los desarrolladores eligieron esa versión antigua "porque no hacía falta una tableta más sofisticada para hacer funcionar el producto".
Albisetti explica que “es peligroso tener un sistema operativo antiguo porque ya no se actualiza y existen muchas vulnerabilidades de seguridad”. Por ejemplo, señala que una persona que hackeara el robot de cocina podría “escuchar el micrófono, usar el robot como fuente de un ataque masivo o instalar programas maliciosos, por ejemplo, de minado de criptomonedas sin el conocimiento del propietario”.
Después, encontraron un tutorial de un alemán que había conseguido desbloquear la interfaz de Android del robot de cocina y usar la pantalla como si fuera una tableta real. Siguieron sus pasos y consiguieron usar la tableta mientras comían para ver vídeos en YouTube o consultar las noticias en France Info.
Pero la gran sorpresa llegó cuando se dieron cuenta de que el dispositivo contaba con un micrófono que parecía estar desactivado por defecto, pero en perfecto estado de funcionamiento.“Hicimos una investigación sobre el hardware del robot y así es como llegamos a conocer la presencia de un micrófono”, cuenta Albisetti.
La compañía no menciona ni en el sitio web ni en las instrucciones de uso la existencia de este micrófono, según explican los franceses. Ambos comprobaron el funcionamiento del micrófono con la aplicación Discord, que es utilizada habitualmente por jugadores de videojuegos para hablar entre ellos. Han publicado un vídeo en YouTube en el que se aprecia cómo con los altavoces y el micrófono incorporado mantienen una conversación a través del robot de cocina.
Los hackers incluso comprobaron la existencia del altavoz y el micrófono al desmontar el electrodoméstico. El director ejecutivo de marketing de Lidl en Francia ha confirmado a Numerama la existencia de estas herramientas. “Se había previsto que el aparato pudiese controlarse con la voz y eventualmente vía Alexa. Dejamos ahí el micro, pero está totalmente inactivo y es imposible que lo activemos remotamente", ha afirmado.
SOMOS ESPIADOS TODOS.
No hay comentarios:
Publicar un comentario