Três razões para não usar fechaduras inteligentes

Melhor usar em algo menos valioso ou necessário. Aqui explicamos o porquê.

Cadeados inteligentes podem ser realmente úteis. Há diversos no mercado e muitos tipos diferentes para escolher.
Algumas fechaduras são capazes de detectar quando o proprietário (ou melhor, o smartphone) está se aproximando e abrir sem chave. Outras são controladas remotamente, permitindo abrir a porta para amigos ou parentes quando não há ninguém em casa. Algumas ainda oferecem vigilância por vídeo: alguém toca a campainha e você vê imediatamente no smartphone quem é.

No entanto, os dispositivos inteligentes trazem riscos com os quais os usuários de fechaduras offline tradicionais nunca precisariam se preocupar. Um estudo meticuloso desses riscos revela três motivos completos para manter o modo antigo. Vamos conferir…

Primeiro motivo: as fechaduras inteligentes são fisicamente mais vulneráveis do que as fechaduras normais

O problema aqui é que as fechaduras inteligentes combinam dois conceitos diferentes. Em teoria, essas fechaduras devem ter um componente inteligente confiável e, ao mesmo tempo, fornecer proteção robusta contra adulteração física para que não possam ser abertas com uma chave de fenda ou um canivete, por exemplo. Combinar esses dois conceitos nem sempre funciona: o resultado geralmente é uma fechadura inteligente frágil ou um cadeado de ferro resistente com software vulnerável.

Já falamos sobre alguns exemplos particularmente notórios de fechaduras incapazes de fazer seu trabalho em outro post. Eles incluem um cadeado interessante com um scanner de impressão digital – sob o qual há um mecanismo de abertura potencialmente acessível a qualquer pessoa (uma alavanca). Além disso, um cadeado inteligente para bicicletas – que pode ser desmontado com uma chave de fenda.

Exemplo de um cadeado inteligente fisicamente vulnerável.

O painel superior com o scanner de impressão digital é fácil de remover com uma faca. O mecanismo de abertura é acessível sob o painel. Fonte

Segundo motivo: problemas com o componente “inteligente”

Tornar o componente “inteligente” seguro o suficiente também não é fácil. É importante lembrar que os desenvolvedores desses dispositivos geralmente priorizam a funcionalidade acima da proteção. O exemplo mais recente é o Akuvox E11, um dispositivo criado não para uso doméstico, mas para escritórios. O Akuvox E11 é um interfone inteligente com um terminal para receber um fluxo de vídeo da câmera embutida, além de um botão para abrir a porta. E, como é um dispositivo inteligente, você pode controlá-lo pelo aplicativo para smartphone.

Interfone Inteligente Akuvox E11

A fechadura Akuvox E11 possui múltiplas vulnerabilidades, permitindo o acesso não autorizado às determinadas instalações sem quaisquer problemas. Fonte

O software foi implementado de tal forma que qualquer pessoa pode ter acesso ao vídeo e ao som da câmera a qualquer momento. E se você não pensou em isolar a interface da Web da Internet, qualquer um poderá controlar a fechadura e abrir a porta. Este é um exemplo clássico de desenvolvimento de software inseguro: solicitações de vídeo não têm verificações de autorização; parte da interface da Web é acessível sem senha; e a senha é fácil de decifrar, devido à criptografia com uma chave fixa que é a mesma para todos os dispositivos.

Quer mais exemplos? Aqui vai… Este artigo fala sobre uma fechadura que permite que intrusos próximos obtenham a senha da sua rede Wi-Fi. Aqui, um cadeado inteligente protege mal a transferência de dados: um invasor pode escutar o canal de rádio e tomar o controle. E aqui está outro exemplo de uma interface da Web insegura.

Terceiro motivo: o software precisa ser atualizado regularmente

Um smartphone típico recebe atualizações por dois ou três anos após seu lançamento. Quanto aos dispositivos IoT econômicos, o suporte pode estar indisponível ainda mais cedo. Atualizar um dispositivo inteligente pela Internet é bastante simples. No entanto, manter o suporte a dispositivos requer recursos e dinheiro por parte do fornecedor.

Isso por si só pode ser um problema, por exemplo, quando o fornecedor desativa a infraestrutura na nuvem e o dispositivo para de funcionar. Mas, mesmo se a funcionalidade de bloqueio inteligente for preservada, vulnerabilidades desconhecidas do fornecedor no momento do lançamento ainda podem aparecer.

Por exemplo, em 2022, os pesquisadores descobriram uma vulnerabilidade no protocolo Bluetooth de Baixo Consumo de Energia, que muitas empresas adotaram como padrão para autenticação sem contato ao desbloquear vários dispositivos (incluindo bloqueios inteligentes). Essa vulnerabilidade abre a porta (por assim dizer) para os chamados ataques de relay, que exigem que o invasor esteja perto do proprietário da fechadura inteligente e use um equipamento especial (mas relativamente barato). Armado com esse hardware, o invasor pode retransmitir sinais entre o smartphone da vítima e a fechadura inteligente. Isso engana a fechadura inteligente fazendo-a pensar que o smartphone do proprietário está por perto (e não em um shopping center a cinco quilômetros de distância), e então o dispositivo desbloqueia a porta.

Exemplo de um fechadura inteligente vulnerável ao ataque de relay

Uma fechadura Kwikset vulnerável a um ataque de relay, por meio de um bug no protocolo Bluetooth de Baixo Consumo de Energia. Fonte

Como o software de cadeado inteligente é altamente complexo, a probabilidade de conter vulnerabilidades graves nunca é zero. Se uma for descoberta, o fornecedor deve lançar imediatamente uma atualização e enviá-la para todos os dispositivos vendidos. Mas e se o modelo foi descontinuado ou não for mais compatível?

Com os smartphones, resolvemos esse problema comprando um novo dispositivo a cada dois ou três anos. Com que frequência você planeja substituir uma fechadura da porta conectada à Internet? Geralmente, esperamos que esses dispositivos durem décadas, não alguns anos (até que o fornecedor retire o suporte ou desapareça do mercado).

Então, o que fazer?

Tenha em mente que todos os tipos de fechaduras (não apenas os inteligentes) podem se quebrar. No entanto, ao decidir instalar um dispositivo inteligente ao invés de uma fechadura padrão, pense com cuidado: você realmente precisa poder abrir a porta usando seu smartphone? Se você responder sim a essa pergunta, pelo menos considere os seguintes pontos:

  • Procure informações sobre o dispositivo específico antes de comprá-lo.
  • Leia as avaliações sobre a conveniência e recursos da fechadura inteligente, mas também relatórios sobre possíveis problemas e riscos.
  • Escolha um dispositivo mais recente: as chances são de que o fornecedor mantenha o suporte por mais tempo.
  • Após comprar um dispositivo, estude seus recursos de rede e pense com cuidado se você precisa deles; seria sensato desativar qualquer um que pudesse ser perigoso.
  • Não se esqueça de proteger seus computadores, especialmente se estiverem na mesma rede da fechadura inteligente. Seria uma vergonha dupla se uma infecção por malware em seu computador também fizesse com que as portas de sua casa fossem abertas.
Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?