2018-3-01

SECURITY

Kaspersky Lab descobre vulnerabilidade em hub de smart home

Os investigadores da Kaspersky Lab investigaram as vulnerabilidades num smart hub utilizado para gerir todos os módulos e sensores conectados instalados numa casa. As conclusões revelaram que é possível que um hacker aceda remotamente ao servidor de um produto e tenha acesso aos dados pessoais do utilizador

Kaspersky Lab descobre vulnerabilidade em hub de smart home

A popularidade destes dispositivos conectados não para de crescer. Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as ações através de interfaces web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.

No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitetura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.

A primeira coisa que os investigadores observaram foi que o hub envia informações ao conectar-se com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface web do smart hub – a identificação do utilizador e a palavra-passe. Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido, uma vez que é gerado de forma muito básica.

Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor. Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.

O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detetadas, e está a proceder à sua reparação.

“Apesar de os dispositivos IoT estarem no centro da atenção dos investigadores de cibersegurança nos últimos anos, foi provado que ainda não são seguros. Selecionámos de forma aleatória o hub e descobrimos que a sua vulnerabilidade não é uma exceção mas mais uma confirmação dos problemas de segurança no mundo da IoT. Parece que todos estes dispositivos, incluindo os mais simples, contêm, pelo menos, um problema de segurança. Por exemplo, recentemente analisámos uma lâmpada inteligente. Podemos perguntar-nos, o que poderá correr mal com uma lâmpada que apenas permite mudar a cor da luz, entre outros parâmetros de iluminação, através do smartphone? Pois bem, detetámos que todas as credenciais das redes Wi-Fi, ou seja, nomes e palavras-passe às quais a lâmpada se havia conectado, estavam armazenadas na sua memória sem qualquer encriptação. Por outras palavras, a situação atual na esfera de segurança da IoT é a de que até uma lâmpada nos pode comprometer”, afirma Vladimir Dashchenko, responsável da área de Investigação de vulnerabilidades na Kaspersky Lab ICS CERT.

ARTIGOS RELACIONADOS

Receitas da Kaspersky Lab crescem 13% em B2B
SECURITY

Receitas da Kaspersky Lab crescem 13% em B2B

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.