Dennis Giese

**Nome do Software Vulnerável e Versões Afetadas** Estações base de robôs aspiradores ECOVACS (versões afetadas não especificadas) **Descrição** As estações base dos robôs aspiradores ECOVACS não validam atualizações de firmware, permitindo que atualizações maliciosas via OTA sejam enviadas à estação base por meio de uma conexão insegura entre o robô e a estação base. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Aplicativo de telefone (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade TLS no aplicativo de telefone utilizado para gerenciar um dispositivo conectado. O aplicativo aceita certificados autoassinados ao estabelecer comunicação TLS, o que pode resultar em ataques man-in-the-middle em redes não confiáveis. As comunicações capturadas podem incluir credenciais de usuário e tokens de sessão sensíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Robôs aspiradores e estações base ECOVACS (versões afetadas não especificadas) **Descrição** Robôs aspiradores e estações base ECOVACS comunicam-se por meio de uma rede Wi-Fi insegura. A comunicação utiliza criptografia AES com uma chave determinística que pode ser facilmente derivada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Aspiradores robô e estações base ECOVACS (versões afetadas não especificadas) **Descrição** Aspiradores robô e estações base ECOVACS comunicam-se via uma rede Wi-Fi insegura utilizando um WPA2-PSK previsível. Isso permite derivar facilmente a senha do Wi-Fi. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cortadores de grama e aspiradores de pó ECOVACS (versões afetadas não especificadas) **Descrição** O problema diz respeito à validação inadequada de certificados TLS pelos cortadores de grama e aspiradores de pó ECOVACS. Isso permite que um atacante não autenticado leia ou modifique o tráfego TLS, o que poderia potencialmente levar à modificação de atualizações de firmware. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cortadores de grama e aspiradores de pó robóticos da ECOVACS (versões afetadas não especificadas) **Descrição** O problema envolve o uso de uma chave simétrica determinística para descriptografar atualizações de firmware nos robôs da ECOVACS. Isso permite que um invasor crie e criptografe firmware malicioso, que pode então ser descriptografado e instalado com sucesso pelo robô. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ECOVACS (versões afetadas não especificadas) **Descrição** A falha permite que atacantes autenticados contornem a inserção do PIN necessária para acessar o feed de vídeo ao vivo. Isso afeta o serviço em nuvem utilizado pelos cortadores de grama e aspiradores de pó robô da ECOVACS. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cortadores de grama e aspiradores robóticos ECOVACS (versões afetadas não especificadas) **Descrição** O problema diz respeito ao uso de uma chave secreta estática e compartilhada para criptografar mensagens BLE GATT em robôs ECOVACS. Isso permite que um atacante não autenticado, dentro do alcance BLE, controle qualquer robô que utilize a mesma chave. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cortadores de grama e aspiradores de pó robóticos da ECOVACS (versões afetadas não especificadas) **Descrição** O problema consiste na injeção de comandos via a função `SetNetPin()` através de uma conexão Bluetooth Low Energy (BLE) não autenticada. Isso possibilita uma potencial exploração sem a necessidade de autenticação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ECOVACS HOME (versões afetadas não especificadas) **Descrição** Os plugins do aplicativo móvel ECOVACS HOME para robôs específicos não validam corretamente os certificados TLS. Isso permite que um atacante não autenticado leia ou modifique o tráfego TLS e obtenha tokens de autenticação. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** As versões anteriores à 9.8.12 dos aplicativos móveis Planet Fitness Workouts para iOS e Android **Descrição** O problema está relacionado à falha dos aplicativos móveis Planet Fitness Workouts para iOS e Android em validar corretamente os certificados TLS. Isso permite que um invasor com acesso adequado à rede obtenha tokens de sessão e informações confidenciais. **Recomendações** Para versões anteriores à 9.8.12, atualize para a versão 9.8.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de rede ao aplicativo até que a atualização seja aplicada.