Recentemente, cobrimos uma vulnerabilidade de segurança no aplicativo Zoom que afeta várias edições do Windows, incluindo o Windows 11. O que o torna mais perigoso do que muitas outras falhas é que ele pode ser plantado remotamente, portanto, nenhum acesso físico é necessário.
Uma vulnerabilidade remota semelhante veio à tona novamente, à medida que milhões de aspiradores de robôs Shark conectados à Internet são supostamente vulneráveis a uma execução remota de código (RCE).
As descobertas vêm do pesquisador de segurança “tokay0”, que afirma que a falha pode permitir que um invasor execute remotamente comandos arbitrários de shell em aspiradores afetados, potencialmente transformando-os em dispositivos acessíveis pela Internet com câmeras, motores e acesso a dados confidenciais do usuário.
O pesquisador descobriu que um certificado digital, que é uma credencial de segurança usada por cada aspirador para comprovar sua identidade ao se conectar à nuvem, poderia interagir com dispositivos Shark de outros clientes, em vez de ficar restrito ao dispositivo de seu proprietário.
O relatório veio depois que o pesquisador fez a engenharia reversa de um aspirador de robô Shark RV2320EDUS.
Uma prova de conceito (PoC) demonstrou que um certificado extraído de um aspirador Shark poderia publicar com sucesso uma mensagem MQTT elaborada para um modelo Shark totalmente diferente, resultando na execução remota de código (RCE) entre dispositivos.
Após uma execução de código bem-sucedida, era aparentemente possível controlar remotamente o dispositivo, acessar sua câmera integrada, recuperar mapas armazenados e recuperar a chave pré-compartilhada de Wi-Fi do proprietário, que aparentemente estava armazenada em texto simples.
Para estimar a escala do problema, tokay0 monitorou o corretor AWS IoT por 24 horas, processando mais de 10,5 milhões de mensagens MQTT e identificando 1.517.605 dispositivos Shark exclusivos.
De acordo com o cronograma de divulgação publicado, o SharkNinja foi notificado pela primeira vez sobre a vulnerabilidade em março de 2026, quando também reconheceu o recebimento do relatório.