A Internet das Coisas (IoT) representa, para muitos, a possibilidade de conectar dispositivos à rede para aproveitar algo útil, como um termostato, luzes da casa, um veículo conectado ou brinquedos interativos para nossos filhos.
Apesar de ser uma invenção fantástica e estar projetada para facilitar a vida cotidiana, a IoT é realmente algo seguro quanto nos referimos a nossa privacidade?
Juntamente com uma equipe de pesquisadores da ESET, busquei alguns dos dispositivos IOT mais populares no mercado atual para criar uma "casa inteligente" básica que imita os objetos conectáveis que podemos encontrar em uma casa típica.
Conceitos como a interconectividade ou "casas inteligentes" não fazem mais parte da trama central de um filme de ficção científica, mas são adotados como parte do cenário. Hoje em dia, a Internet das Coisas transformou as "casas inteligentes" não só em algo possível, mas em muitos casos comuns.
No entanto, é recomendável criar sua própria "casa inteligente"? Muitos problemas podem chegar a surgir se tentarmos criar uma casa interconectada por nossos próprios meios. Mesmo uma instalação básica terá que enfrentar os desafios da compatibilidade entre dispositivos de diferentes fabricantes - um aspecto que influenciará o funcionamento correto e a qualidade da experiência.
Compramos uma série de dispositivos IoT que qualquer pessoa que esteja buscando uma experiência “interconectada” em sua casa poderia considerar essencial para a criação de um kit básico. Nós também compramos um assistente pessoal virtual (dispositivo que interpreta comandos verbais e que permite controlar vários dos dispositivos comprados através do uso da voz).
Privacidade: a principal preocupação
A principal preocupação era construir uma "casa inteligente" que não comprometesse a privacidade.
Nesse sentido, havia a preocupação de que os dispositivos domésticos pudessem coletar dados privados. Claro, entendemos a necessidade da maioria dos dispositivos coletar dados pessoais básicos. No entanto, descobrimos algo muito preocupante: muitas empresas costumavam usar o termo "mas não limitado a" para se referir ao fato de que poderiam coletar mais informações do que as indicadas em suas políticas de privacidade.
No total, testamos doze produtos de sete fornecedores diferentes, inclusive um produto que não incluímos no relatório final porque descobrimos vulnerabilidades significativas. Como empresa de segurança, valorizamos o compromisso de divulgação responsável e a natureza colaborativa do setor de segurança da informação. É por isso que nos comunicamos com o fabricante para compartilhar com ele todos os dados específicos das deficiências que identificamos no dispositivo e não publicaremos esses detalhes até que a empresa tenha tempo para corrigi-los.
Embora cada um dos dispositivos testados apresentasse algum problema em termos de privacidade, o que mais nos preocupou foi o desempenho dos assistentes inteligentes de voz. Isso se deve, entre outras coisas, ao medo atual de que os serviços comerciais compartilhem mais informações do que o necessário - a proteção insuficiente dos dados armazenados e a possibilidade de que os cibercriminosos interceptem o tráfego digital.
Você pode criar uma casa inteligente segura?
A resposta é: possivelmente. Nenhum programa pode garantir total segurança ou imunidade contra potenciais vulnerabilidades. No entanto, a cultura de segurança de uma empresa pode ser julgada por sua reação diante vulnerabilidades divulgadas. Alguns dos dispositivos testados apresentaram vulnerabilidades que foram rapidamente resolvidas com um novo software e firmware. Quando as vulnerabilidades não são resolvidas rapidamente, pode ser apropriado escolher um dispositivo equivalente. Então, com critério e atenção, é possível montar uma "casa inteligente" básica.
Conclusão
Inicialmente, o objetivo deste projeto foi criar uma "casa inteligente" básica que imitasse algo que poderia acabar sendo uma casa típica. A preocupação da nossa equipe de pesquisa foi: "o que acontece se não encontrarmos nenhum tipo de problema?". No entanto, esse não foi o caso. Na verdade, a conclusão que escrevi é diferente do que planejei em um primeiro momento.
O potencial dos dados coletados pelo uso doméstico, as informações armazenadas pelos navegadores através dos provedores de Internet e o fato de estejam disponíveis para uma única empresa é algo que só deve ser permitido depois de analisar as consequências.
Uma lista completa dos dispositivos analisados, acompanhada de uma ficha técnica mais detalhada sobre os produtos, pode ser encontrada no white paper (em inglês): IoT and Privacy by Design in the Smart Home.