4 outros dispositivos IoT foram invadidos. Eles parecem mais inseguros do que nunca!

Durante o hackathon de dois meses em setembro e outubro de 2015, pesquisadores de seguran├ža da Bitdefender encontraram vulnerabilidades em quatro novos dispositivos IoT, apenas um dos quais foi parcialmente corrigido desde que o desenvolvedor foi notificado.

4 outros dispositivos IoT foram invadidos.  Eles parecem mais inseguros do que nunca!

Os pesquisadores encontraram o primeiro problema em WeMo Switch, um comutador acess├şvel pela Internet que permite aos usu├írios ligar e desligar dispositivos eletr├┤nicos em casa.

Este dispositivo usou (e ainda o faz) um canal de comunica├ž├úo n├úo seguro entre o switch e o aplicativo para smartphone e n├úo possui autentica├ž├úo. Tudo ├ę transmitido em texto sem formata├ž├úo, exceto o c├│digo do dispositivo, que ├ę criptografado com um algoritmo AES de 128 bits facilmente quebr├ível, usando uma chave de criptografia derivada do ID do dispositivo e seu endere├žo MAC.

O segundo dispositivo IoT testado foi Lifx Bulb, um sistema de LED inteligente compat├şvel com Nest que permite que os usu├írios personalizem a cor e a intensidade do sistema de ilumina├ž├úo dom├ęstica por meio de um aplicativo Android.

Este dispositivo possui uma vulnerabilidade de design que permite que um invasor externo roube as certifica├ž├Áes de rede dom├ęstica WiFi de um usu├írio, for├žando o aplicativo Android do usu├írio a se reconectar ├á sua rede dom├ęstica. O invasor pode criar um ponto de acesso falso e roubar as credenciais de conex├úo WiFi do usu├írio.

O mesmo problema afeta Kit inicial do LinkHub, que inclui duas l├ómpadas GE Link e um ponto de controle importante, ambos controlados por um aplicativo Android. Ao aplicar o ataque t├ęcnico descrito acima e como o dispositivo n├úo usa criptografia, ele envia pacotes de rede em texto sem formata├ž├úo, um invasor pode obter credenciais de WiFi em pouco tempo e sem nenhum esfor├žo significativo.

Por ├║ltimo na lista e o ├║nico dispositivo que recebeu reparo (parcial) ├ę Receptor de ├íudio Wi-Fi MUZO Cobblestone, que permite aos usu├írios transmitir m├║sicas de seus dispositivos para um sistema de ├íudio local.

Pesquisadores da Bitdefender descobriram que o dispositivo criou um hotspot aberto continuamente, no qual uma for├ža bruta poderia ser aplicada e atrav├ęs da qual um invasor poderia extrair a senha do Wi-Fi para a rede WiFi local.

Um invasor com acesso ├á rede Wi-Fi local pode rastrear o tr├ífego do usu├írio, rastreando seus h├íbitos de navega├ž├úo, apreendendo credenciais de autentica├ž├úo para outros servi├žos inseguros ou at├ę “infectando” os dados do usu├írio com malware.

“Esta pesquisa nos mostra a necessidade urgente de incorporar uma arquitetura de seguran├ža adequada ao ciclo de vida dos dispositivos”, conclui a equipe do Bitdefender ap├│s suas pesquisas. “A Internet das Coisas (Internet of Things) est├í abrindo uma nova dimens├úo ├á seguran├ža [ÔÇŽ]. Se as previs├Áes de um mundo super conectado se tornarem realidade e os fabricantes n├úo introduzirem o conceito de seguran├ža em seus produtos, as consequ├¬ncias podem ser assustadoras para a vida das pessoas “.

A Internet das Coisas: Riscos na Casa Conectada est├í dispon├şvel para download no site da Bitdefender.