Falha grave em cafeteira expõe riscos da internet das coisas

Falha grave em cafeteira expõe riscos da internet das coisas

Todo dia ela faz tudo sempre igual. Liga, prepara o caf alguns minutos antes que seu dono puxe a garrafa de vidro para servir uma caneca, checa o nvel da gua e a quantidade de gros de caf, envia relatrios para o celular do usurio. Tudo de forma automtica.

Essa a proposta de uma cafeteira inteligente que, assim como outros equipamentos desenvolvidos com protocolos de Internet das Coisas (IoT, Internet of Things em ingls), tem a inteno de tornar a rotina dos seres humanos mais prticas e despreocupadas, focadas naquilo que mais importante para cada um. Ou pelo menos deveria ser.

Durante alguns experimentos por parte da empresa Pen Test Partners ainda em 2015 com cafeteiras da marca Smarter, foram exploradas algumas falhas bastante simples com consequncias bem graves. Apesar de ter sido informada, a empresa apenas corrigiu a falha em novos equipamentos, deixando os antigos sem atualizaes e vulnerveis.

Em uma falha de segurana simples de ser explorada, uma cafeteira pode se tornar a porta de entrada de hackers na sua rede – Foto:mdhfc/CC

Entra em cena Martin Hron, um pesquisador de segurana da Avast, que resolveu estudar at que ponto essas falhas poderiam ser exploradas. Os resultados foram preocupantes.

Como funciona a cafeteira (no to) inteligente

Comeando pela descoberta da falha, Martin a encontrou ao ligar a mquina na tomada pela primeira vez, literalmente. Acontece que, para permitir a configurao inicial, ela cria uma rede Wi-Fi totalmente aberta e qualquer pessoa buscando uma rede consegue conectar a ela. No necessrio nem mesmo ter o aplicativo da empresa instalado.

Com isso, ele resolveu recuperar as informaes do firmware do equipamento e rodar por um software de engenharia reversa bastante utilizado por hackers e desenvolvedores. Para sua surpresa, no havia nenhuma criptografia do cdigo, permitindo sua edio completa.

Mas, para saber o que alterar, ele foi alm. Ao desmontar uma das cafeteiras, analisou a placa e criou um diagrama de blocos do seu funcionamento, que se mostrou incrivelmente simples. A partir da, Martin passou a fazer mudanas no cdigo e testar seus resultados.

As placas de circuito utilizadas em IoT costumam ser mais simples, o que impediu o uso da cafeteira como mineradora de criptomoedas, mas no impede que seu usurio seja levado a loucura – Foto:fumi/CC

Ainda no bsico, conseguiu alterar a velocidade de rotao do moedor, a temperatura da gua, alertas sonoros e diversas de outras pequenas funes. Ento ele passou a pensar fora da caixa e a tentar coisas novas. A primeira foi de minerao de criptomoedas, que funcionou, mas o processador se mostrou muito lento para poder tirar proveito disso.

Ento Martin criou um cdigo que exibia uma mensagem com um pedido de resgate, enquanto a cafeteira apitava sem parar e expelia vapor de gua. O cdigo era to malicioso que a nica forma de encerrar as funes era tirar o equipamento da tomada.

O que isso representa para IoT

Voc deve pensar que esse foi um experimento complicado e realizado em um laboratrio fechado, mas ele precisou de 7 dias para criar tudo isso e o cdigo era transportado em um celular Android, podendo explorar a falha em qualquer cafeteira da marca anterior mudana de chip.

Vale dizer que as cafeteiras antigas no recebem mais atualizao de segurana e seus usurios no foram informados dessas falhas, ou seja, os equipamentos foram abandonados prpria sorte de seus proprietrios.

Da mesma forma que possvel realizar uma alterao de cdigo, Martin especula o uso da falha para que hackers acessem a rede Wi-Fi do usurio e passem a monitorar outros equipamentos, roteadores e computadores. E, a partir da, causar danos muito maiores do que uma cafeteira apitando.

Em um mundo cada vez mais conectado, com centenas de equipamentos inteligentes em uma mesma casa, o suporte a esses aparelhos passa a ser uma preocupao constante – Imagem:4xfast Technologies/flickr

Citando Martin, “A vida til tpica de uma geladeira de 17 anos, ento por quanto tempo voc acredita que as fabricantes de equipamentos inteligentes vo fornecer suporte de software para seus produtos? claro que voc consegue utilizar os equipamentos sem isso, mas com o crescimento do uso de produtos de IoT e a m conduta do suporte, ns estamos criando um exrcito de dispositivos abandonados vulnerveis que podem ser utilizados para propsitos nefastos.”

Apenas utilizar os equipamentos sem suas funes inteligentes no parece ser a resposta, j que eles continuam criando uma rede Wi-Fi aberta para o primeiro que conectar, ou seja, pior. Para proteger adequadamente os produtos, o correto seria criar uma subrede virtual dedicada apenas a eles, impedindo o acesso a outros equipamentos do roteador, inclusive ele mesmo.

Mas quantos usurios tem o conhecimento e a pacincia para realizar esse procedimento? Em um mundo que luta contra senhas e busca mais simplicidade na utilizao da tecnologia, tanto trabalho chega a ser um retrocesso.

Fonte: arstechnica

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *