Pesquisadores da Kaspersky, que investigam o dispositivo de controle de
um ecossistema residencial inteligente ativo, identificaram várias
vulnerabilidades críticas. Elas incluem bugs na infraestrutura de nuvem e a
possível execução remota de códigos que permitiriam que terceiros tivessem
acesso de ‘superusuário’ ao controlador e manipulassem a infraestrutura
residencial inteligente como quisessem. Os resultados foram compartilhados com
a Fibaro, fornecedora do dispositivo, que resolveu os problemas imediatamente.
A segurança da Internet das Coisas (IoT) é pesquisada há muitos anos e, conforme o cenário da IoT continua se ampliando e evoluindo, essa pesquisa continua sendo extremamente importante: com novos produtos e soluções, surgem novas ameaças que comprometem a segurança dos usuários. Um funcionário da Kaspersky desafiou os pesquisadores da empresa a examinar o sistema inteligente implementado em uma residência. Ele permitiu que os pesquisadores acessassem o controle de sua casa inteligente. Esse controle foi escolhido porque conecta e supervisiona as operações de toda a residência inteligente e, se comprometido, permitiria que um invasor cibernético entrasse no ecossistema residencial e fizesse qualquer coisa, da espionagem ao roubo ou sabotagem física.
O estágio inicial da pesquisa, de coleta de informações, levou os especialistas a vários possíveis vetores de ataque: pelo protocolo de comunicação sem fio Z-Wave, amplamente usado na automação residencial; pela interface Web do painel de administração e pela infraestrutura em nuvem. A última opção acabou sendo mais eficaz para os ataques: uma avaliação dos métodos usados para processar as solicitações do dispositivo mostraram vulnerabilidades no processo de autorização e a possibilidade de execução remota de códigos.
Combinados, eles permitiriam que terceiros acessassem todos os backups carregados na nuvem por todas as centrais residenciais da Fibaro, e carregassem backups infectados na nuvem para depois baixá-los em um controle específico, mesmo sem ter direitos de acesso ao sistema.
Para completar o experimento, os especialistas da Kaspersky realizaram um ataque de teste sobre o controle. Para isso, prepararam um backup específico com um script desenvolvido separadamente, protegido por senha. Eles enviaram um e-mail e um SMS para o proprietário do dispositivo pela nuvem, solicitando que ele atualizasse o firmware do controle. Conforme solicitado, a ‘vítima’ concordou e baixou o backup infectado. Assim, os pesquisadores obtiveram direitos de superusuário do controle residencial inteligente, podendo manipular o ecossistema conectado. Para demonstrar a invasão bem-sucedida do sistema, os pesquisadores alteraram os ajustes do despertador; no dia seguinte, o funcionário da Kaspersky acordou com uma música eletrônica com um volume alto.
“Diferente de nós, um invasor real com aceso ao controle residencial provavelmente não se limitaria a brincar com o despertador. Uma das principais funções do dispositivo que examinamos é a integração de todas as "coisas inteligentes", de modo que o proprietário da residência possa gerenciá-la em uma única central residencial. Um detalhe importante é que nossa avaliação foi direcionada a um sistema implementado ativo; a maior parte das pesquisas anteriores foi realizada em laboratório. A pesquisa mostrou que, apesar da consciência cada vez maior sobre a segurança da IoT, ainda há problemas que precisam ser resolvidos. Ainda mais importante, os dispositivos que avaliamos são produzidos em massa e implementados em redes domésticas inteligentes que estão funcionando. Nós agradecemos à Fibaro por sua atitude responsável em relação aos problemas e por tornar a residência de nosso colega muito mais segura do que antes da pesquisa”, diz Pavel Cheremushkin, pesquisador de segurança da ICS CERT da Kaspersky.
Para manter os dispositivos seguros, recomendamos aos usuários:
• Ao decidir que parte da sua vida você vai tornar um pouco mais inteligente, considere os riscos de segurança envolvidos;
• Antes de comprar um dispositivo de IoT, pesquise na Internet as notícias sobre os tipos de vulnerabilidades;
• Junto com os bugs normais que existem em produtos novos, os dispositivos lançados recentemente podem ter problemas de segurança que ainda não foram descobertos por pesquisadores de segurança. Considerando isso, a melhor opção é comprar produtos que já têm várias atualizações de software, em vez daqueles que foram recém-lançados no mercado;
• Verifique se todos os seus dispositivos têm todas as atualizações de segurança e de firmware mais recentes;
• Comece a usar o Kaspersky Security Cloud, que protege as contas online dos usuários e as redes Wi-Fi domésticas, garantindo a privacidade na rede: a solução avisa o usuário caso algum convidado indesejado tente se conectar a ela, protegendo os dispositivos da IoT residencial e recebendo alertas automáticos sobre ameaças de segurança com recomendações de especialistas quando é necessário tomar alguma medida.
Assista ao vídeo sobre as vulnerabilidades de uma casa inteligente
Kaspersky
Nenhum comentário:
Postar um comentário