Usuarios de un popular impresora 3d Recientemente se encontraron con un mensaje siniestro en sus dispositivos: desconecta el dispositivo de Internet o afronta las consecuencias. Aparentemente, los dispositivos conllevan una grave vulnerabilidad de la que se podría abusar de diferentes maneras.
Los usuarios de la impresora 3D Anycubic acudieron en masa a Reddit para compartir su experiencia al recibir un mensaje no solicitado a través de su dispositivo. El mensaje se llamaba «hacked-machine_readme» y afirmaba que el dispositivo tiene una «vulnerabilidad crítica». Para «evitar una posible explotación», los usuarios deben desconectar sus dispositivos de Internet, dice el mensaje.
“Este es sólo un mensaje inofensivo. No ha sufrido ningún daño”, concluye el mensaje.
Tres millones de mensajes
Según el mensaje de advertencia, las impresoras tienen una vulnerabilidad no especificada en el servicio MQTT de Anycubic que, aparentemente, puede usarse para «conectar y controlar» impresoras 3D conectadas a Internet. MQTT es descrito como un “protocolo de red ligero, de publicación-suscripción, de máquina a máquina para cola de mensajes/servicio de cola de mensajes”.
Está diseñado para conectarse a dispositivos remotos con ancho de banda de red limitado u otras limitaciones (lo que se ajusta a la descripción de un dispositivo IoT promedio).
«¿Qué se puede hacer? Bueno, podría RM toda tu impresora, pero no tengo ganas de desperdiciar tus impresiones o el filamento en el que has gastado dinero real”, dice el mensaje. “También es posible poner un script de inicio en la impresora pero yo no lo he hecho. Esperemos que anycubic arregle su servidor MQTT. También, por favor, anycubic, haga que la impresora sea de código abierto”.
El autor del mensaje concluyó diciendo que se envió a 2,8 millones de dispositivos.
El sitio web de Anycubic y la cuenta de Twitter no han mencionado este incidente al momento de esta publicación. Un administrador del foro de Reddit respondió a uno de los hilos diciendo que la empresa estaba investigando el asunto.
A través de TechCrunch