Pesquisadores de segurança soam alarme em campainhas inteligentes
Uma nova análise de 11 campainhas de vídeo relativamente baratas revelou vulnerabilidades de alto risco em todas elas.
Os consumidores que desejam comprar campainhas de vídeo neste período de festas fariam bem em ficar com marcas de renome e confiáveis.
Uma análise recente de quase uma dúzia de campainhas de vídeo baratas vendidas em mercados online como Amazon e eBay revelou várias vulnerabilidades de segurança em cada dispositivo. O mais sério deles era a prática de alguns dos dispositivos de enviar nomes, senhas, informações de localização, fotos, vídeo, e-mail e outros dados de Wi-Fi ao fabricante sem motivo aparente.
A consultoria de segurança NCC Group, em colaboração com a organização de consumidores do Reino Unido, selecionou 11 campainhas de vídeo disponíveis em mercados online populares no Reino Unido. Alguns eram muito parecidos, mas eram de fabricantes diferentes. Outros dispositivos pareciam cópias do Amazon Ring. Todos os produtos tinham preços substancialmente mais baixos do que o preço médio de varejo de marcas conhecidas, como Ring e a campainha inteligente Nest Hello do Google.
Embora a maioria dos modelos testados fosse de marcas pouco conhecidas, alguns deles tiveram altas avaliações dos usuários e um dos produtos até foi endossado com o logotipo Amazon’s Choice – o que significa que o varejista recomendou o produto.
O Grupo NCC e qual? O estudo descobriu problemas de segurança relacionados ao hardware, aplicativos associados e servidores que transmitiam e transferiam dados das campainhas.
Por exemplo, duas campainhas de vídeo da Victure e da Ctroncs tinham uma falha de segurança que poderia permitir que um invasor roubasse a senha da rede e a usasse para invadir a campainha e o roteador, bem como outros dispositivos conectados à rede.
Outra campainha inteligente da Victure, que a Amazon rotulou como uma das mais vendidas e teve uma pontuação de 4,3 em 5 estrelas para mais de 1.000 usuários, estava enviando muitos dados confidenciais, incluindo o nome da rede Wi-Fi e a senha, de forma não criptografada para servidores na China.
Um dispositivo vendido na Amazon e no eBay, que não tinha nenhuma marca perceptível associada a ele, tinha uma implementação de protocolo WPA-2 vulnerável que permitiria a um invasor obter acesso a toda a rede doméstica do proprietário da campainha de vídeo. Uma porta de vídeo inteligente Qihoo 360, na Amazon, era fácil de hackear com apenas um ejetor de cartão SIM padrão, e outra tinha uma falha que permitia que os invasores desligassem o dispositivo colocando-o de volta em um estágio de “emparelhamento”.
Phoning Home
“Dada a sua disponibilidade em vários mercados online, mas com muito pouca informação sobre os dispositivos e sua segurança, achamos que seria interessante testá-los de uma perspectiva segura de design e implementação”, disse Matt Lewis, diretor de pesquisa do NCC Group.
“A descoberta mais surpreendente foi ver algumas das campainhas enviando senhas de Wi-Fi domésticas pela Internet e não criptografadas para servidores remotos”, disse ele. “Não está muito claro qual seria o propósito de tal recurso e certamente expõe toda a rede doméstica de uma pessoa a invasores e criminosos em potencial.”
Lewis diz que quase todas as campainhas foram observadas enviando pelo menos alguns dados de volta para servidores remotos localizados fora do Reino Unido e da Europa, mas nem sempre foram dados confidenciais.
De acordo com o Grupo NCC, todos os 11 dispositivos testados tinham uma ou mais vulnerabilidades de segurança de alto risco e um “grande número” tinha senhas padrão fracas e fáceis de adivinhar. O fornecedor descreveu dois dos produtos como criticamente vulneráveis e outros nove como tendo problemas de segurança de “alto impacto”.
“A principal lição para os consumidores é realmente fazer sua lição de casa antes de comprar dispositivos como esses e, quando possível, ficar com marcas populares e conhecidas”, disse Lewis. Embora marcas menos conhecidas possam ser muito mais baratas, elas geralmente têm design e recursos de segurança inadequados ou ausentes, diz ele.
O novo relatório destaca o que vários pesquisadores descreveram como a ameaça crescente à segurança da Internet de dispositivos inseguros da Internet das Coisas (IoT). Eles observaram como uma grande porcentagem de dispositivos inteligentes – campainhas, termostatos conectados, TVs, roteadores, impressoras, etc. – instalados em residências em todo o mundo são fracamente protegidos contra espionagem, roubo de dados, sabotagem e outros ataques.
Os ataques de negação de serviço distribuído (DDoS) Mirai de 2016 foram os primeiros a demonstrar como os invasores podiam abusar de dispositivos IoT inseguros para causar destruição generalizada. Desde então, houve vários outros incidentes em que invasores sequestraram um grande número de dispositivos IoT e montaram botnets para lançar ataques DDoS e distribuir ransomware e outros malwares.
As preocupações com as vulnerabilidades da IoT levaram a algumas ações legislativas. Um exemplo é a Lei de Segurança da Internet das Coisas da Califórnia , que entrou em vigor em janeiro de 2020. A lei exige que os fabricantes de dispositivos conectados implementem medidas razoáveis para proteger qualquer informação que os dispositivos possam coletar, conter ou transmitir.
Fonte: https://www.darkreading.com/iot/security-researchers-sound-alarm-on-smart-doorbells/d/d-id/1339523
