Kaspersky Lab descobre hub de smart home vulnerável a ataques remotos


Por em

Os investigadores da Kaspersky Lab investigaram as vulnerabilidades num smart hub utilizado para gerir todos os módulos e sensores conectados instalados numa casa. As conclusões revelaram que é possível que um hacker aceda remotamente ao servidor de um produto e descarregue um arquivo com os dados pessoais dos utilizadores, aceda às suas contas e, finalmente, obtenha o controlo dos sistemas domésticos.

A popularidade destes dispositivos conectados não para de crescer, não diminuindo também a sua procura. Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as ações através de interfaces web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.

No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitetura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.

A primeira coisa que os investigadores observaram foi que o hub envia informações ao se conectar com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface web do smart hub – a identificação do utilizador e a palavra-passe. Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido, uma vez que é gerado de forma muito básica.

Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor. Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.

Para se manterem protegidos, a Kaspersky Lab recomenda que os utilizadores tomem as seguintes medidas:

  • Utilizar sempre palavras-passe complexas e alterá-las regularmente.
  • Estar informado sobre os problemas de cibersegurança e consultar a informação mais recente sobre as vulnerabilidades descobertas e patched dos dispositivos inteligentes.

Para garantir a segurança da smart home e da IoT, a Kaspersky Lab oferece uma aplicação gratuita para a plataforma Android: a Kaspersky IoT Scanner. A solução faz scans da rede Wi-Fi doméstica e informa o utilizador sobre os dispositivos conectados e o seu nível de segurança.

Para mitigar os riscos de cibersegurança, a Kaspersky Lab aconselha os fabricantes e os programadores a realizarem sempre provas de segurança antes de laçarem os seus produtos, e a cumprirem os padrões de cibersegurança IoT. Recentemente, a Kaspersky Lab contribuiu e colaborou na elaboração da ITU-T Y.4806 (União Internacional de Telecomunicações – setor das telecomunicações), criada para ajudar a manter uma proteção adequada dos sistemas IoT, incluindo cidades inteligentes, dispositivos médicos, entre outros.

Leia também

Ou veja mais notícias de outros

Acompanhe ao minuto as últimas noticias de tecnologia. Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.
Anterior

Intel Coffee Lake funcionam mesmo nas motherboards Z170/Z270

Controlo Parental por PIN vai chegar à Netflix

Seguinte