Hackean el robot de cocina de Lild: descubren que tiene un micrófono oculto y cuenta con el desactualizado Android 6.0 Dos jóvenes franceses «destripan» Monsieur Cuisine y revelan que funciona sobre una versión del sistema operativo de Google que no se actualiza desde octubre de 2017

A. MARTÍNEZ @abc_tecnologia Actualizado: 14/06/2019 02:08h

El robot de cocina Monsieur Cuisine Connect de Lidl (359 euros) es uno de los más demandados en el mercado. El recién lanzamiento en Francia de la nueva versión fue, de hecho, una auténtica locura. Diseñado en Alemania y producido en China, dispone de una pantalla táctil de 7 pulgadas y se puede conectar a la red wifi del hogar para descargar recetas de forma gratuita. Por tanto, os recordamos lo que siempre dicen los expertos en ciberseguridad: «Todo aparato conectado a la Red es susceptible de ser hackeado».

Dos jóvenes franceses aficionados a la informática, Alexis Viguié y Adrien Albisetti, han «destripado» este dispositivo, descubriendo varios elementos curiosos en su funcionamiento, tal y como informa la publicación francesa « Numerama». Entre otras cosas, han descubierto «la existencia de un micrófono secreto inactivo, que podría ser vulnerable a un ataque».

La idea «destripar» a Monsieur Cuisine surgió de forma espontánea. Según Alexis Viguié, un amigo le retó a ejecutar «Doom» en el popular robot de cocina. «Doom» es un videojuego muy famoso que se puede instalar en multitud de dispositivos que nunca han sido diseñados para ellos. Los amantes de este videojuego lo han instalado donde no te puedes imaginar: cajeros automáticos, en un iPod, relojes, etc.

Después de unos minutos, los dos jóvenes se percataron de que la pantalla táctil se ejecuta sobre Android 6.0. Decidieron, así, «hackearla»: desbloquearon la interfaz del robot de cocina y usarla como si fuera una tableta. El resultado es que consiguen jugar a «Doom» en la pantalla del robot de cocina o ejecutar aplicaciones que funcionan a la percepción, como Youtube, tal y como demuestran en el vídeo que han publicado en « Reddit».

«Pero un detalle llamó nuestra atención», aseguran. Fue el micrófono, un elemento que descubrieron a pesar de que «no se menciona en ningún lugar su existencia, ni en el sitio web oficial, ni en las instrucciones de uso que consultamos. Aún así, está en perfecto estado de funcionamiento». También cuenta con un altavoz.

La incógnita del altavoz y micrófono

Ya el alemán Gauster Haus demostró en 2018, a través de un vídeo publicado en Youtube, que el robot de cocina tenía un micrófono, a la derecha, y un altavoz, a la izquierda. En la última versión del robot de cocina de Lidl, los dos jóvenes indican que «el micrófono es similar» al de la versión que «destripó» Haus, «pero el altavoz parece más grande». Ambos componentes se ven a la perfección observando a Monsieur Cuisine.

Altavoz, a la izquierda, y micrófono, a la derecha - Numerama

La pregunta que se hacen los jóvenes es clara: ¿Planea Lidl permitir el control de voz en un futuro cercano? La compañía ha elegido «voluntariamente» situar ambos componentes, sin explicárselo al consumidor, a pesar de que parece estar desactivado.

«El hecho de tener un micrófono sin notificar a los usuarios ya es un problema en sí mismo», recuerda «Numerama». Basta con recordar el caso de Google, que dotó a su dispositivo de seguridad Nest Secure, lanzado en 2017, de un micrófono sin informar a los usuarios.

Michel Biero, responsable de marketing de Lidl en Francia, se ha postulado para defender a la compañía. Aunque en una primera versión que ofreció a «Numerama» aseguró «no estar al tanto de la presencia del micrófono», después reconoció que existía porque esperaban que Monsieur Cuisine «fuera controlable por voz y posiblemente por Alexa (...) Dejamos el micrófono pero está completamente inactivo y no es posible que lo activemos de forma remota. Lidl no quiere y no puede acceder a él».

Pero, tal y como recuerda la publicación, «es técnicamente posible que pueda tener acceso a este micrófono, como (la compañía) admite, si usara una actualización automática», algo que puede hacer porque Lidl así lo especifica en sus condiciones de uso. En tal caso, «la activación se actualizará y el cliente podrá optar o no por esta función», aunque no aclara cómo informará al consumidor de que dicha opción está disponible.

El obsoleto sistema operativo

«Pero la existencia de este micrófono no mencionado podría tener consecuencias mucho más graves en caso de intento de pirateo del dispositivo. Como han observado Alexis Viguié y Adrien Albisetti, resulta que Monsieur Cuisine funciona con una versión antigua de Android, la 6.0, cuyos parches de seguridad datan de 2017, lo que hace que el dispositivo sea vulnerable a los ataques», añade la publicación. Y es que Android 6.0 es una versión que Google tiene abandonada ya (data del 2015) y no actualiza desde octubre de 2017. Teniendo en cuenta que «cada mes, Google lanza un nuevo parche de seguridad que corrige docenas de errores de seguridad» que no solo afectan al software, sino a componentes de terceros, la exposición es grave. De hecho, la versión de 2018 del robot de cocina de Lidl lleva también Android 6.0.

«¿Por qué un producto de 2018 está equipado con esta versión antigua de Android que, además, no está asegurado?», preguntan los jóvenes. «No había necesidad de una tableta más sofisticada para que el robot funcione», explica el responsable de Lidl, ignorando la grave vulnerabilidad y falta de seguridad de su producto.

Tal y como explica la Oficina de Seguridad del Internauta ( OSI), las actualizaciones, ya sean de aplicaciones o de sistema operativo, «son añadidos o modificaciones cuya misión es mejorar tanto aspectos de funcionalidad como de seguridad». Por ello, «tenemos que tenerlas instalados en nuestros dispositivos».

En el caso de no mantener los dispositivos al día, «nos exponemos a todo tipo de riesgos: robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc. Las vulnerabilidades «pueden ser aprovechadas por ciberdelincuentes para infectarnos y llevar a cabo actividades maliciosas».