A HP identificou vulnerabilidades significativas em sistemas de seguran├ža dom├ęstica

Um estudo realizado pela HP em alguns dos dispositivos de seguran├ža mais populares conectados ├á Internet revela falhas de seguran├ža significativas em rela├ž├úo ├á autentica├ž├úo e autoriza├ž├úo, bem como interfaces da Web m├│veis e baseadas na nuvem.

HP encontrou falhas - Connected Home Security SystemsPesquisadores da HP testaram dez dos dispositivos mais recentes e descobriram que, em muitos casos, a integra├ž├úo inadequada dos mecanismos de prote├ž├úo poderia fornecer a terceiros a capacidade de us├í-los contra seus propriet├írios.

“O objetivo desses sistemas ├ę fornecer seguran├ža e monitoramento remoto a um propriet├írio, mas, dadas as vulnerabilidades que descobrimos, o sistema de seguran├ža do propriet├írio pode n├úo ser o ├║nico que monitora a resid├¬ncia”, disseram os pesquisadores em comunicado. relat├│rio recente.

A s├ęrie de pontos fracos diz respeito ├á falta de seguran├ža de dois fatores (2FA), que foi identificada apenas em um caso e em quest├Áes relacionadas ├á m├í implementa├ž├úo do modelo de comunica├ž├úo SSL / TLS seguro para dispositivos m├│veis e a interface baseada em nuvem, o que permitiu a utiliza├ž├úo de vulnerabilidade POODLE.

Um ponto fraco encontrado em todos os dispositivos testados foi o fato de o uso de senhas fracas ser permitido, sendo o n├şvel mais baixo recomendado por seis caracteres alfanum├ęricos. Isso, combinado com o m├ętodo prec├írio de recupera├ž├úo de senha ou com logins insuficientemente protegidos, pode levar ao acesso n├úo autorizado por terceiros.

A possibilidade de ataques de for├ža bruta tamb├ęm foi identificada pelos pesquisadores, pois alguns sistemas n├úo tinham limite no n├║mero de tentativas falhas de logon.

Vulnerabilidades do tipo enumera├ž├úo de contas foram observadas em sete casos. Isso permitiria que algu├ęm obtivesse conhecimento sobre a conta de usu├írio de destino a partir de respostas retornadas por diferentes servi├žos de autoriza├ž├úo, como feedback da recupera├ž├úo de senha ou logins com falha.

A HP relata que muitos dos sistemas em estudo est├úo levantando preocupa├ž├Áes sobre o mecanismo de atualiza├ž├úo de firmware, que ├ę baseado em uma conex├úo n├úo criptografada para remessa. Ainda mais preocupante ├ę o fato de um dos sistemas ter alimentado o arquivo de atualiza├ž├úo FTP e permitido o registro das credenciais, o que deu ao servidor o direito de se registrar.

Al├ęm disso, a HP declara que todos os dispositivos coletam v├írios tipos de informa├ž├Áes pessoais, incluindo detalhes de cart├úo de pagamento e n├║meros de telefone, al├ęm do nome, endere├žo e / ou data de nascimento do usu├írio.

Uma das melhores recomenda├ž├Áes para os consumidores ├ę alterar o nome de usu├írio e a senha padr├úo fornecidos pelo fabricante. Al├ęm disso, uma boa dica ├ę prestar aten├ž├úo aos recursos de seguran├ža dispon├şveis de cada dispositivo.

As empresas podem isolar dispositivos do resto da rede para evitar invas├Áes.