Un investigador de seguridad identificado como abgeo.dev adquirió un timbre inteligente 'Smart Doorbell X3' en Temu por 12 dólares y descubrió vulnerabilidades críticas que permiten a cualquier persona en internet manipular el dispositivo. El análisis reveló fallos en la capa de la plataforma/backend operada por la empresa china Guangzhou Qiangui IoT Technology Co., Ltd (bajo la marca Naxclow), no en un dispositivo individual. Las vulnerabilidades permiten tres ataques principales: robar la cuenta del propietario redirigiendo las llamadas al teléfono del atacante, impersonar el dispositivo con video falso en tiempo real, y extraer la contraseña WiFi del hogar a través de un puerto de depuración. El fabricante del hardware es Shenzhen Ruilang Technology Co., Ltd, y el mismo producto se vende bajo diferentes marcas de revendedores. La aplicación 'X Smart Home' carece de medidas de seguridad básicas; los token de autenticación son estáticos y persisten incluso tras un reinicio de fábrica. El investigador reportó las fallas el 29 de abril de 2026 a Naxclow sin recibir respuesta, y publicó los hallazgos una semana después como parte de una divulgación responsable.
Investigador descubre que timbre inteligente de 12 dólares permite control desde internet
