Smart home vulnerável a ataques remotos

Os investigadores da Kaspersky Lab investigaram as vulnerabilidades num smart hub utilizado para gerir todos os módulos e sensores conectados instalados numa casa. As conclusões revelaram que é possível que um hacker aceda remotamente ao servidor de um produto e descarregue um arquivo com os dados pessoais dos utilizadores, aceda às suas contas e, finalmente, obtenha o controlo dos sistemas domésticos.

A popularidade destes dispositivos conectados não para de crescer, não diminuindo também a sua procura. Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as ações através de interfaces web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.

No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitetura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.

A primeira coisa que os investigadores observaram foi que o hub envia informações ao se conectar com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface web do smart hub – a identificação do utilizador e a palavra-passe. Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido, uma vez que é gerado de forma muito básica.

Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor. Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.

O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detetadas, e está a proceder à sua reparação.

“Apesar de os dispositivos IoT estarem no centro da atenção dos investigadores de cibersegurança nos últimos anos, foi provado que ainda não são seguros. Selecionámos de forma aleatória o hub e descobrimos que a sua vulnerabilidade não é uma exceção mas mais uma confirmação dos problemas de segurança no mundo da IoT. Parece que todos estes dispositivos, incluindo os mais simples, contêm, pelo menos, um problema de segurança. Por exemplo, recentemente analisámos uma lâmpada inteligente. Podemos perguntar-nos, o que poderá correr mal com uma lâmpada que apenas permite mudar a cor da luz, entre outros parâmetros de iluminação, através do smartphone? Pois bem, detetámos que todas as credenciais das redes Wi-Fi, ou seja, nomes e palavras-passe às quais a lâmpada se havia conectado, estavam armazenadas na sua memória sem qualquer encriptação. Por outras palavras, a situação atual na esfera de segurança da IoT é a de que até uma lâmpada nos pode comprometer”, afirma Vladimir Dashchenko, responsável da área de Investigação de vulnerabilidades na Kaspersky Lab ICS CERT.

“É importantíssimo que os fabricantes garantam a adequada proteção dos utilizadores, e prestem muita atenção aos requisitos de segurança ao desenvolver e lançar os seus produtos porque até os mais pequenos detalhes podem provocar consequências graves”, concluiu.

Para se manterem protegidos, a Kaspersky Lab recomenda que os utilizadores tomem as seguintes medidas:

Utilizar sempre palavras-passe complexas e alterá-las regularmente.
Estar informado sobre os problemas de cibersegurança e consultar a informação mais recente sobre as vulnerabilidades descobertas e patched dos dispositivos inteligentes.
Para garantir a segurança da smart home e da IoT, a Kaspersky Lab oferece uma aplicação gratuita para a plataforma Android: a Kaspersky IoT Scanner. A solução faz scans da rede Wi-Fi doméstica e informa o utilizador sobre os dispositivos conectados e o seu nível de segurança.

Para mitigar os riscos de cibersegurança, a Kaspersky Lab aconselha os fabricantes e os programadores a realizarem sempre provas de segurança antes de laçarem os seus produtos, e a cumprirem os padrões de cibersegurança IoT. Recentemente, a Kaspersky Lab contribuiu e colaborou na elaboração da ITU-T Y.4806 (União Internacional de Telecomunicações – setor das telecomunicações), criada para ajudar a manter uma proteção adequada dos sistemas IoT, incluindo cidades inteligentes, dispositivos médicos, entre outros.

Recomendado para si

Mantenha-se conectado com soluções de segurança que se adapt... Hoje em dia, os utilizadores são obrigados diariamente a escolher entre a oportunidade de estarem conectados ou de preservar a sua privacidade Quanto ...
Kaspersky Lab deteta vulnerabilidades nos chips de localizaç... Investigadores da Kaspersky Lab detetaram vulnerabilidades na segurança de várias marcas de localização de animais, entre elas a Kippy Vita, Nuzz...
Kaspersky Lab e cerveja Pilsner Urquell juntas para proteger... Os ciberataques contra redes industriais tornaram-se prevalentes nos últimos anos. De acordo com a equipa ICS CERT (Industrial Control Systems Cyber E...
A Kaspersky Lab revela-lhe o quanto o seu smartwatch sabe so... Nova investigação revela que os smartwatches podem tornar-se em ferramentas para espiar os seus utilizadores. Os investigadores recolheram si...
O regresso do Olympic Destroyer Os investigadores da Kaspersky Lab que acompanham a ameaça Olympic Destroyer descobriram que o grupo de hackers que a desenvolveu ainda está ativo Os...
Páginas de Facebook falsas responsáveis por 60% do phishing ... No primeiro trimestre de 2018, as tecnologias anti phishing da Kaspersky Lab evitaram mais de 3.7 milhões de tentativas de visitas a páginas de redes ...