CVE-2024-52327

ECOVACS lawnmower and vacuum cloud service live video PIN bypass

CVSS 6 MEDIUMEPSS 0.5%CWE-603 CWE-807

Em resumo

Robôs cortadores de grama e aspiradores da ECOVACS têm uma falha que permite a quem já está logado no serviço de nuvem pular a proteção de PIN e acessar o vídeo ao vivo. Isso é problemático porque o PIN deveria ser uma camada extra de segurança para manter seu vídeo doméstico privado.

Detalhe técnico

Atacantes autenticados podem contornar a verificação de PIN (CWE-603: Uso de Senha Hard-Coded) no serviço de nuvem ECOVACS para acessar vídeos ao vivo dos dispositivos conectados. A vulnerabilidade requer autenticação prévia na conta de nuvem (CWE-807: Confiança em Endereço IP Hard-Coded), mas contorna um controle de autorização adicional, potencialmente expondo capacidades de vigilância não autorizadas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The cloud service used by ECOVACS robot lawnmowers and vacuums allows authenticated attackers to bypass the PIN entry required to access the live video feed.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos afetados

ECOVACS · cloud service ECOVACS · ECOVACS HOME

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf https://www.ecovacs.com/global/userhelp/dsa20241217002