Hackers franceses ‘invadem’ robô de cozinha e encontram microfone oculto
Alexis Viguié e Adrien Albisetti são dois franceses que se dedicam à informática. Há alguns dias, um amigo lhes propôs um desafio: instalar um videogame no robô de cozinha vendido com a marca do supermercado Lidl. O aparelho se chama Monsieur Cuisine Connect e é o concorrente low cost do popular Thermomix. Viguié e Albisetti puseram mãos à obra. Mas, ao tentar hackear o dispositivo, encontraram algo que não esperavam: o robô de cozinha tinha um microfone oculto. Além disso, contava com um sistema operacional que não é atualizado desde outubro de 2017.
“Não achamos que o Lidl tenha vontade de nos espionar”, disse Albisetti ao EL PAÍS. Esse homem de 30 anos, morador da cidade de Rennes, acaba de concluir a faculdade de administrador de sistemas informáticos. Embora tenha usado pouco o robô de cozinha, afirma que “funciona muito bem”. Mas considera muito importante que se saiba “que a versão do Android é antiga e vulnerável a piratas que poderiam tomar o controle do aparelho e escutar o som ambiente através do microfone”. O risco, segundo ele, “é limitado”: “O acesso ao microfone e outras funções vulneráveis só é possível quando o robô está ligado, por isso é importante pensar em desligá-lo quando não for usado”.
A rede Lidl disse ao EL PAÍS que o microfone está desativado e que “a segurança do Monsieur Cuisine está garantida”. O microfone, segundo a empresa, foi concebido “para futuras funcionalidades como o controle por voz, tal como já acontece com outros eletrodomésticos de características similares”. “Se o controle de voz vier a ser habilitado futuramente através de uma atualização do software, o microfone só poderá ser ativado sob expresso consentimento do usuário. Atualmente, só um uso fraudulento e mal-intencionado do produto pode ativar o microfone”, disse a companhia.
O Monsieur Cuisine Connect é uma versão melhorada da primeira geração do produto, lançada em 2016. O robô de cozinha, desenhado na Alemanha e produzido na China pela marca SilverCrest, tem tela tátil de sete polegadas e se conecta à Internet via wi-fi para baixar receitas. O robô de cozinha é comercializado em muitos dos países onde o Lidl tem lojas, como Reino Unido, França, Alemanha e Espanha, onde 25.000 unidades foram vendidas no ano passado. Para este ano, a filial espanhola importou o triplo, e o estoque se esgotou em 48 horas.
O videogame que os hackers deveriam instalar no robô de cozinha se chama Doom. Há toda uma comunidade de aficionados da informática que buscam instalar esse jogo em toda classe de aparelhos. Os dois amigos nunca tinham tentado instalar o Doom num dispositivo que não foi feito para isso. “Mas estou acostumado a me entreter desbloqueando dispositivos do Android”, explicou Viguié, que tem 21 anos e estuda para ser administrador de sistemas informáticos. Albisetti também gosta de experimentar e “brincar” com equipamentos diversos.
A companhia não menciona nem no seu site nem nas instruções de uso a existência deste microfone, segundo os hackers
Ao tentar instalar o Doom no robô de cozinha, levaram poucos minutos para descobrir que a tela tátil do aparelho opera com o sistema Android 6.0, uma versão que não é atualizada desde outubro de 2017 e que, portanto, poderia estar exposta a vulnerabilidades de segurança. O diretor-executivo de marketing do Lidl na França, Michel Biero, confirmou ao site francês de ciência e tecnologia Numerama que os desenvolvedores escolheram essa versão antiga "porque não era preciso um tablet mais sofisticado para fazer o produto funcionar".
Albisetti explica que “é perigoso ter um sistema operacional antigo porque já não é atualizado e existem muitas vulnerabilidades de segurança”. Por exemplo: uma pessoa que hackeasse o robô de cozinha poderia “escutar o microfone, usar o robô como fonte de um ataque maciço ou instalar programas maliciosos, por exemplo, de garimpagem de criptomoedas, sem o conhecimento do proprietário”.
Depois, os franceses encontraram um tutorial de um alemão que tinha conseguido desbloquear a interface do Android do robô de cozinha e usar a tela como se fosse um tablet de verdade. Seguiram seus passos e conseguiram usar o tablet enquanto comiam, vendo vídeos no YouTube e consultando as notícias do France Info.
Mas a grande surpresa chegou quando perceberam que o dispositivo contava com um microfone que parecia vir desativado de fábrica, mas em perfeito estado de funcionamento. “Fizemos uma investigação sobre o hardware do robô e foi assim que chegamos a conhecer a presença de um microfone”, conta Albisetti.
A companhia não menciona nem no site nem nas instruções de uso a existência deste microfone, segundo os franceses. Eles comprovaram o funcionamento do microfone com o aplicativo Discord, que é habitualmente utilizada por jogadores de videogames para conversarem entre si. Publicaram um vídeo no YouTube em que se vê que, graças aos alto-falantes e ao microfone incorporado, eles mantêm um diálogo através do robô de cozinha.
Os hackers inclusive comprovaram a existência do alto-falante e do microfone ao desmontar o eletrodoméstico. O diretor-executivo de marketing do Lidl na França confirmou ao Numerama a existência destas ferramentas. “Foi previsto que o aparelho pudesse ser controlado por voz e futuramente via Alexa. Deixamos o microfone lá, mas está totalmente inativo e é impossível que o ativemos remotamente", afirmou.