O analista de segurança David Jacoby, da empresa de segurança digital Kaspersky Lab, conduziu uma pesquisa experimental em sua própria casa para descobrir o quão segura ela é em termos de cibernéticos. Ele procurou vulnerabilidades em diversos dispositivos de entretenimento de sua sala de estar, como Smart TVs, roteadores, Blu-Ray, entre outros. O objetivo do especialista era descobrir se eles estavam vulneráveis a ciberataques. E ele constatou que quase todos os equipamentos traziam algum tipo de vulnerabilidade.
Jacoby examinou dois modelos de dispositivos de armazenamento de rede (NAS) de diferentes marcas, uma Smart TV, um recebedor de satélite e uma impressora conectada. Como resultado de sua pesquisa, David Jacoby conseguiu descobrir 14 vulnerabilidades nos NASs, uma no televisor e várias funções de controle remoto escondidas no roteador.
Como atacar estes dispositivos
As vulnerabilidades mais graves foram encontradas nos dispositivos NAS. Vários deles permitem que um invasor execute remotamente comandos do sistema com os mais altos privilégios administrativos. Os dispositivos testados também tinham senhas padrão fracas, os lotes de arquivos de configuração tinham as permissões erradas e também continham senhas em texto simples. Em particular, a senha do administrador padrão para um dos dispositivo continha apenas um dígito. Outro dispositivo ainda dividiu o arquivo de configuração inteiro com senhas criptografadas para todos na rede.
Um NAS comprometido poderia se tornar uma fonte de infecção para outros dispositivos conectados neles – um PC em casa, por exemplo – e até mesmo servir como um Bot DDoS em uma botnet. Além disso, desde que a vulnerabilidade permitiu que o arquivo fosse carregado em uma parte especial do sistema de arquivos do dispositivo, a única maneira de eliminá-lo era usando a mesma vulnerabilidade.
Enquanto investigava o nível de segurança de sua própria Smart TV, o pesquisador da Kaspersky descobriu que nenhuma criptografia foi usada na comunicação entre a TV e o servidor do fornecedor da TV. Isso abre, potencialmente, o caminho para um acesso não autorizado. Como prova de conceito, o pesquisador foi capaz de substituir um ícone da interface gráfica da Smart TV com uma imagem. Normalmente os widgets e miniaturas são baixados dos servidores do fornecedor da TV e, devido à falta de conexão criptografada, a informação poderia ser modificada por um terceiro. O pesquisador também descobriu que a SmartTV é capaz de executar o código Java que, em combinação com a capacidade de interceptar a troca de tráfego entre a TV e a Internet, pode resultar em ataques maliciosos que partem de exploração.
O roteador DSL usado para fornecer acesso à Internet sem fios para todos os outros dispositivos domésticos continha várias características perigosas devidamente ocultadas. Segundo o Jacoby, alguma dessas funções escondidas poderiam fornecer ao ISP (provedor de Internet) acesso remoto a qualquer dispositivo em uma rede privada. O mais importante é que, de acordo com os resultados da pesquisa, seções da interface do roteador web – chamados de “Webcam”, “Configuração especializada em Telefonia”, “Controle de Acesso”, “WAN-Sensing” e “Update” – são invisíveis e não ajustáveis para o dono do dispositivo.
Originalmente estas funções foram implementadas para a conveniência do proprietário do dispositivo: a função de acesso remoto torna mais fácil e rápido para o provedor de internet resolver possíveis problemas técnicos no aparelho, mas a conveniência poderia se transformar em um risco se os controles caírem em mãos erradas.
Falta conscientização
“Indivíduos e empresas precisam entender os riscos de segurança em torno de dispositivos conectados. Nós também precisamos ter em mente que nossa informação não é segura apenas porque temos uma senha forte, e que há um monte de coisas que não podemos controlar”, afirmou o especialista. “Levei menos de 20 minutos para localizar e verificar vulnerabilidades extremamente graves em um dispositivo que parece seguro e até mesmo tem referências à segurança em seu nome. Como é que uma pesquisa semelhante acabaria se fosse realizada em uma escala muito mais ampla do que apenas a minha sala de estar?”, questionou o especialista.
Ainda de acordo com o pesquisador, muitas empresas não liberam uma correção para estas brechas por considerarem os modelos ultrapassados: “Como me foi informado em conversas com fornecedores, algumas dessas empresas não desenvolverão uma correção de segurança para os dispositivos vulneráveis que, segundo elas, já estão ultrapassados”, declarou. “Geralmente, para essas empresas, o ciclo de vida desses aparelhos é de um ou dois anos, enquanto na vida real esse período é muito maior. Independentemente da forma como você olha para ela, não é uma política muito justa”, disse.
Como permanecer seguro em meio a dispositivos conectados na sua casa:
• Torne a vida do hacker mais difícil: todos os seus dispositivos devem estar atualizados com todos os últimos updates de segurança e firmware. Isso minimizará o risco de explorar vulnerabilidades conhecidas.
• Certifique-se de que o nome de usuário e a senha padrão esteja alterada – esta é a primeira coisa que um criminoso tentará mudar ao tentar comprometer o seu dispositivo.
• A maioria dos roteadores e switches em casa tem a opção de configurar sua própria rede para cada dispositivo e também a possibilidade de restringir o acesso ao aparelho – com a ajuda de vários DMZs diferentes (um segmento de rede separado para sistemas com um maior risco de comprometimento)/ VLANs (um mecanismo para alcançar a separação lógica entre as diferentes redes lógicas na mesma rede física). Por exemplo, se você tem uma TV, você pode querer restringir o acesso a esta TV e só permitir um recurso específico dentro de sua rede. Não há muita razão para a sua impressora estar conectada ao seu televisor.
Veja também:
- Falha na segurança do iPhone permite chamadas não autorizadas
- Pesquisadores descobrem uma forma de hackear o Gmail com 92% de eficácia
- Brasil é o país que mais sofreu ciberataques na América Latina em 2014
Acompanhe o Softonic nas redes sociais: curta a fanpage do Softonic no Facebook e siga @softonic_br no Twitter.
