Mercado abrirá em 9 h 4 min
  • BOVESPA

    99.605,54
    -1.411,42 (-1,40%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    38.001,31
    -244,55 (-0,64%)
     
  • PETROLEO CRU

    38,64
    -0,93 (-2,35%)
     
  • OURO

    1.908,20
    -3,70 (-0,19%)
     
  • BTC-USD

    13.831,94
    +77,18 (+0,56%)
     
  • CMC Crypto 200

    273,38
    +12,09 (+4,63%)
     
  • S&P500

    3.390,68
    -10,29 (-0,30%)
     
  • DOW JONES

    27.463,19
    -222,19 (-0,80%)
     
  • FTSE

    5.728,99
    -63,02 (-1,09%)
     
  • HANG SENG

    24.635,19
    -152,00 (-0,61%)
     
  • NIKKEI

    23.410,76
    -75,04 (-0,32%)
     
  • NASDAQ

    11.531,25
    -56,75 (-0,49%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,7193
    -0,0039 (-0,06%)
     

Especialista prova como hackers podem invadir até uma cafeteira

Felipe Demartini
·4 minutos de leitura

Imagine acordar de manhã, e ainda com os olhos meio pregados, notar que sua cafeteira inteligente foi sequestrada e está solicitando resgate para te entregar o tão aguardado cafezinho matinal? Foi isso que o pesquisador de segurança Martin Hron, da Avast, conseguiu fazer em um modelo de cafeteira inteligente da Smarter e frequentemente citado no noticiário de tecnologia pela falta de protocolos de segurança em seu sistema.

A ideia, segundo o especialista, era mostrar de forma curiosa como descuidos dessa categoria, em dispositivos conectados, podem levar a resultados graves. Além de instalar um ransomware no produto, ele também foi capaz de o operar remotamente, alterando programações de funcionamento automático, ativando a preparação do café, dispensando água e ligando o moedor, todos efeitos que só poderiam ser interrompidos com a cafeteira sendo desligada diretamente da tomada.

Todo o processo foi feito em um equipamento novo, comprado em uma loja e retirado da caixa apenas para o experimento. Os problemas de segurança começaram já na instalação inicial, afirmou Hron, com o eletrodoméstico funcionando como um ponto de acesso Wi-Fi que se comunicava de forma insegura com um app para smartphones. É por meio do software que acontece a configuração inicial e a conexão à rede doméstica, mas sem criptografia nesse contato, já era possível manipular seu funcionamento e levar o produto a exibir comportamento irregular.

A grande brecha, entretanto, foi encontrada no sistema de atualização da Smarter, cujos updates eram recebidos pelo telefone (ou seja, sem os protocolos de segurança necessários). A ausência de autenticação, criptografia e até assinaturas para os patches permitiu manipulações diretas, com a criação de um firmware customizado que permitisse o acesso por terceiros a partir de apps falsos, golpes de phishing e outros tipos de comportamento malicioso.

Criar a atualização maliciosa, em si, exigiu desmontar a cafeteira para entender como seu chip funciona. Mas, uma vez que a engenharia reversa foi finalizada, um acesso físico não era mais possível. A ideia inicial, bem-sucedida, era de usar o produto para minerar criptomoedas. Logo na sequência, Hron decidiu apostar em uma exploração que assustaria os usuários, exibindo um emoji demoníaco e exigindo resgate dos utilizadores.

A exploração aconteceu por meio de um aplicativo para o sistema operacional Android e, por mais que a ameaça aos dados dos usuários não seja necessariamente um problema aqui, o pesquisador ainda levanta o alerta vermelho. Afinal de contas, utilizações remotas e sucessivas poderiam causar danos aos produtos, no mínimo, isso quando o funcionamento irregular não levar a curtos ou incêndios. Sem falar, claro, no próprio pedido de resgate, que se aplicado por criminosos, poderia levar a golpes diretos contra os clientes.

Sequência de falhas

A Smarter vem aparecendo no noticiário de tecnologia desde 2015, quando lançou a primeira geração da cafeteira inteligente. Naquela ocasião, já foi descoberto que o eletrodoméstico não protegia as senhas dos Wi-Fis a que se conectava, o maior dos problemas entre diversas explorações possíveis. Uma segunda versão não resolveu a falha e ainda adicionou novas, com a ausência de verificação dos firmwares instalados e nenhuma criptografia na CPU que controlava todos os processos do produto.

As versões mais recentes das cafeteiras usam um novo chipset, que solucionou tais falhas, mas ainda podem estar suscetíveis à exploração de Hron. Além disso, a Smarter jamais liberou atualizações para os modelos antigos e nem mesmo informou aos clientes sobre as falhas encontradas por pesquisadores em segurança; muitas delas seguem em uso e, sendo assim, representam um risco.

Em contato com o Canaltech, a Smarter afirmou que os testes da Avast foram realizados em cafeteiras de primeira geração, vendidas em 2016 e que não recebem mais suporte da empresa. De acordo com ela, quantidades "limitadas" destes eletrodomésticos foram comercializadas naquele ano, e por mais que tais aparelhos não tenham atualizações ou patches de segurança liberados, seus usuários continuam a ser atendidos pela empresa para orientação. Desde então, a fabricante afirma estar comprometida com os mais altos padrões de segurança em todos os seus eletrodomésticos, que desde 2017 são vendidos com certificação que garante a proteção dos dados e de suas características conectadas.

Fonte: Canaltech

Trending no Canaltech: