Un usuario ha descubierto una vulnerabilidad crítica en una mascarilla para dormir inteligente adquirida a través de Kickstarter, fabricada por una pequeña empresa china. La mascarilla, que monitoriza la actividad cerebral mediante electroencefalografía (EEG) y ofrece estimulación eléctrica muscular, transmite datos de ondas cerebrales de los usuarios a un broker MQTT público, exponiendo la información a cualquier persona con acceso a ese broker. El usuario, utilizando un modelo de lenguaje como Claude, logró descifrar el protocolo de comunicación Bluetooth y la lógica de la aplicación Android, revelando credenciales codificadas para el broker MQTT que son compartidas por todos los dispositivos.
Esta vulnerabilidad no solo permite la lectura de datos cerebrales de usuarios, sino también el potencial de enviar impulsos eléctricos a sus máscaras, lo que plantea serias preocupaciones de seguridad y privacidad. El broker MQTT también está recibiendo datos de otros dispositivos IoT pertenecientes a la misma empresa, incluyendo monitores de calidad del aire y sensores de presencia. El usuario ha contactado a la empresa para informarles del problema, instando a una revisión de sus prácticas de seguridad y a una mayor atención a la higiene digital, como se destaca en un artículo de Karpathy. La ingeniería inversa se completó rápidamente utilizando herramientas especializadas y un modelo de lenguaje avanzado.