Uma pesquisa publicada nesta semana revelou a existência de uma série de vulnerabilidades críticas em dispositivos IoT da marca Zipato, usados como parte de um centro inteligente (smart hub) para controlar os dispositivos IoT usados em casas inteligentes. Caso explorados, eles poderiam permitir que um atacante pudesse abrir a porta principal de uma casa que usa uma fechadura inteligente.
Os problemas de segurança em dispositivos IoT não são uma novidade. "Ainda estamos longe de contar com padrões de segurança para IoT e a realidade indica que, apesar da usabilidade e a facilidade que os dispositivos inteligentes oferecem ao usuário serem muito bem avaliadas, também podem representar uma porta aberta para a entrada de ameaças", explicou o responsável pelo Laboratório da ESET na América Latina, Camilo Gutiérrez, no relatório de Tendências 2019.
Em consonância com essa realidade, no início de 2018 os pesquisadores da ESET publicaram um white paper com os resultados de uma análise de doze dispositivos IoT disponíveis no mercado e cada um apresentou algum problema do ponto de vista da privacidade, além de outras falhas de segurança.
A adoção de dispositivos inteligentes para casas continua crescendo, assim como as preocupações em segurança - por isso, os usuários devem aprender a avaliar os aspectos de segurança de um computador antes de decidir comprá-lo.
Sobre a vulnerabilidade em centros inteligentes (smart hubs)
A descoberta dessas vulnerabilidades é fruto do trabalho dos pesquisadores Charles Dardaman e Jason Wheeler. Duas das três vulnerabilidades descobertas estão relacionadas com o design e a implementação dos mecanismos de autenticação da API do centro inteligente, enquanto a terceira é uma vulnerabilidade na chave SSH privada para ROOT que, assim como eles explicaram em uma publicação realizada esta semana, é única e permite que seja extraída do cartão de memória localizado no dispositivo. Essa chave removível não é mais nem menos que o acesso à conta do usuário com o nível mais alto de acesso. Portanto, qualquer pessoa que tenha acesso à chave privada pode acessar o dispositivo sem precisar crackear a senha.
Usando a chave privada, os pesquisadores baixaram do dispositivo um arquivo .json contendo uma senha hasheada, que eles usaram para acessar a API através da técnica pass the hash. Isso porque descobriram que o centro inteligente não precisava saber a senha em texto simples: era suficiente com a senha hasheada. Desta forma, os pesquisadores conseguiram enganar o dispositivo, fazendo-o acreditar que eles eram os proprietários do equipamento, obtendo a senha hasheada e inserindo a mesma no centro inteligente.
Feito isso, eles demonstraram que, por meio de um comando, um atacante poderia enviar uma solicitação a um centro inteligente vulnerável para desbloquear e bloquear uma porta. Além disso, eles desenvolveram um script como parte de uma prova de conceito.
Um dos pesquisadores assegurou ao portal TechCrunch que qualquer apartamento que registrasse uma conta principal para o restante dos apartamentos do prédio permitiria que abrissem todas as portas. Além disso, Dardaman explicou ao portal que, para explorar as falhas, um atacante precisaria estar conectado à mesma rede Wi-Fi que o centro inteligente vulnerável. Como se isso não bastasse, o pesquisador garantiu que qualquer centro inteligente diretamente conectado à Internet poderia ser explorado remotamente.
Algum tempo depois, os pesquisadores perceberam que as chaves SSH privadas estavam hardcodeadas em cada um dos equipamentos usados para controlar os dispositivos IoT da casa nas mãos dos clientes, o que expunha os usuários a um risco.
Os resultados da pesquisa foram publicados agora, mas a descoberta ocorreu em fevereiro de 2019. Eles tornaram públicos os detalhes da pesquisa apenas depois que a empresa Zipato corrigiu as falhas de segurança, em março deste ano.
O chefe executivo da Zipato disse ao TechCrunch que o novo centro inteligente vem com uma chave SSH privada exclusiva, bem como outras melhorias de segurança que foram adicionadas. Além disso, a empresa comentou que desativou o centro inteligente ZipaMicro e o substituiu por um novo produto.
