Kaspersky Lab descobre vulnerabilidade em hub de smart home

A popularidade destes dispositivos conectados não para de crescer. Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as ações através de interfaces web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.

No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitetura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.

A primeira coisa que os investigadores observaram foi que o hub envia informações ao conectar-se com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface web do smart hub – a identificação do utilizador e a palavra-passe. Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido, uma vez que é gerado de forma muito básica.

Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor. Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.

O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detetadas, e está a proceder à sua reparação.

“Apesar de os dispositivos IoT estarem no centro da atenção dos investigadores de cibersegurança nos últimos anos, foi provado que ainda não são seguros. Selecionámos de forma aleatória o hub e descobrimos que a sua vulnerabilidade não é uma exceção mas mais uma confirmação dos problemas de segurança no mundo da IoT. Parece que todos estes dispositivos, incluindo os mais simples, contêm, pelo menos, um problema de segurança. Por exemplo, recentemente analisámos uma lâmpada inteligente. Podemos perguntar-nos, o que poderá correr mal com uma lâmpada que apenas permite mudar a cor da luz, entre outros parâmetros de iluminação, através do smartphone? Pois bem, detetámos que todas as credenciais das redes Wi-Fi, ou seja, nomes e palavras-passe às quais a lâmpada se havia conectado, estavam armazenadas na sua memória sem qualquer encriptação. Por outras palavras, a situação atual na esfera de segurança da IoT é a de que até uma lâmpada nos pode comprometer”, afirma Vladimir Dashchenko, responsável da área de Investigação de vulnerabilidades na Kaspersky Lab ICS CERT.