Já há algumas semanas que ando de volta do Home Assistant, para configurar alguns dos equipamentos que tenho a funcionar no meu smartphone. Este é sem dúvida um mundo muito interessante, mas que acarreta alguns perigos, como um estudo do Kaspersky Lab nos vem agora demonstrar.
Os investigadores da Kaspersky Lab investigaram
as vulnerabilidades num smart hub utilizado
para gerir todos os módulos e sensores conectados instalados numa casa. As
conclusões revelaram que é possível que um hacker
aceda remotamente ao servidor de um produto e descarregue um arquivo com os
dados pessoais dos utilizadores, aceda às suas contas e, finalmente, obtenha o
controlo dos sistemas domésticos.
A popularidade destes dispositivos conectados
não para de crescer, não diminuindo também a sua procura. Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando
todas as configurações dos dispositivos num único lugar e permitindo aos
utilizadores controlar as ações através de interfaces
web ou de aplicações móveis. Ao mesmo
tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem
utilizá-la como ponto de entrada para levar a cabo ataques remotamente.
No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que
acabou por se converter numa porta aberta para ataques de terceiros através de
algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova
investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitetura do
dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.
A primeira coisa que os investigadores
observaram foi que o hub envia
informações ao se conectar com um servidor, incluindo as credenciais
necessárias para iniciar a sessão no interface
web do smart hub – a identificação
do utilizador e a palavra-passe. Além disso, outros dados pessoais, como o
número de telefone do utilizador, necessário para receber alertas, poderá estar
também incluindo. Os hackers podem,
então, descarregar o arquivo com a informação enviando simplesmente um pedido
legítimo ao servidor onde incluem o número de série do dispositivo. A análise
demonstra também que o número de série pode ser facilmente obtido, uma vez que
é gerado de forma muito básica.
Segundo os especialistas, os números de série
podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente
confirmados através de um pedido ao servidor. Se um dispositivo com esse número
de série é registado num sistema na cloud,
os hackers recebem uma confirmação.
A partir daí, podem entrar na conta online
do utilizador e gerir a configuração dos sensores e controladores conectados ao
hub da smart home.
O fabricante já foi notificado de toda a
informação sobre as vulnerabilidades detetadas, e está a proceder à sua
reparação.
“Apesar de os dispositivos IoT estarem no centro da
atenção dos investigadores de cibersegurança nos últimos anos, foi provado que
ainda não são seguros. Selecionámos de forma aleatória o hub e descobrimos que a sua
vulnerabilidade não é uma exceção mas mais uma confirmação dos problemas de
segurança no mundo da IoT. Parece que todos estes
dispositivos, incluindo os mais simples, contêm, pelo menos, um problema de
segurança. Por exemplo, recentemente analisámos uma lâmpada inteligente.
Podemos perguntar-nos, o que poderá correr mal com uma lâmpada que apenas
permite mudar a cor da luz, entre outros parâmetros de iluminação, através do smartphone?
Pois bem, detetámos que todas as credenciais das redes Wi-Fi, ou seja, nomes e
palavras-passe às quais a lâmpada se havia conectado, estavam armazenadas na
sua memória sem qualquer encriptação. Por outras palavras, a situação atual na
esfera de segurança da IoT é a de que até uma lâmpada
nos pode comprometer”, afirma
Vladimir Dashchenko, responsável da área de Investigação de vulnerabilidades na
Kaspersky Lab ICS CERT.
“É importantíssimo que os fabricantes garantam a adequada
proteção dos utilizadores, e prestem muita atenção aos requisitos de segurança
ao desenvolver e lançar os seus produtos porque até os mais pequenos detalhes
podem provocar consequências graves”, concluiu.
Para se manterem protegidos, a Kaspersky Lab recomenda
que os utilizadores tomem as seguintes medidas:
·
Utilizar sempre palavras-passe complexas e
alterá-las regularmente.
· Estar informado sobre os problemas de
cibersegurança e consultar a informação mais recente sobre as vulnerabilidades
descobertas e patched dos dispositivos
inteligentes.
Para garantir a segurança da smart home e da IoT, a Kaspersky Lab oferece
uma aplicação gratuita para a plataforma Android: a Kaspersky IoT Scanner. A
solução faz scans da rede Wi-Fi
doméstica e informa o utilizador sobre os dispositivos conectados e o seu nível
de segurança.
Para mitigar os riscos de cibersegurança, a
Kaspersky Lab aconselha os fabricantes e os programadores a realizarem sempre
provas de segurança antes de laçarem os seus produtos, e a cumprirem os padrões
de cibersegurança IoT. Recentemente, a Kaspersky Lab contribuiu e colaborou na
elaboração da ITU-T Y.4806 (União Internacional de Telecomunicações – setor das
telecomunicações), criada para ajudar a manter uma proteção adequada dos sistemas
IoT, incluindo cidades inteligentes, dispositivos médicos, entre outros.
0 comments:
Enviar um comentário