Um pequeno brinquedo sexual com grandes problemas

24 jan 2019

Werner Schober é um pesquisador da SEC Consult e estudante da Universidade Austríaca de Ciências Aplicadas. Em seu quinto ano, ele enfrentou um problema com o qual muitos de nós estão bem familiarizados: escolher o tema da tese.

Ele começou a criação do seu trabalho a partir de uma nuvem de tags com palavras de temas selecionados por seus colegas de curso. Todas as expressões da moda relacionadas com TI estavam lá: bitcoin, GDPR, cloud, etc. Mas, por algum motivo, não havia nenhuma menção ao termo Internet das Coisas (IoT), assunto super em alta nos dias de hoje. Foi uma pessoa completamente leiga em relação ao seu trabalho, que lhe deu a justa sugestão de PenTest, também conhecido como Teste de Intrusão (ou seja, hackear dispositivos e redes com intuito de encontrar vulnerabilidades neles) que poderia ser aplicado em sua pesquisa.
No entanto, a Internet das Coisas (IoT) é um conceito muito amplo, que abrange praticamente tudo, desde luzes de semáforos e marca-passos cardíacos a bules de chá inteligentes. Logo, deveria focar e diminuir seu objeto de análise empírica. Mas as infraestruturas críticas que usam IoT – como os semáforos e os marca-passos – já haviam sido pesquisados profundamente, assim como a casa inteligente, equipada com chaleiras e lâmpadas inteligentes, que fizeram parte de uma análise completa – sem restar nenhuma vulnerabilidade realmente crítica para abordar. Em último caso ele pensou: e se o cortador de grama inteligente tivesse um ataque de negação de serviço (DDoSed)? Ele mesmo tinha a resposta: apenas corte a grama você mesmo por um dia.

Sendo assim, Werner optou por uma subcategoria de IoT que não havia sido amplamente pesquisada (embora existam estudos sobre o tema, já que os hackers são fascinados por tudo aquilo que é proibido) e na qual as vulnerabilidades poderiam levar a consequências reais: brinquedos sexuais inteligentes.

Werner testou três dispositivos: dois chineses e um alemão. Adivinha qual deles continha mais vulnerabilidades? Spoiler: o último. E como! As vulnerabilidades tornaram-se tão críticas e tão numerosas que Werner abandonou completamente os dispositivos chineses e dedicou toda a sua tese ao dispositivo alemão. Ele relatou suas descobertas no 35º Chaos Communication Congress (35C3).

O dispositivo alemão é conhecido comoVibratissimo PantyBuster. Via Bluetooh é conectado a um smartphone Android ou iOS e pode ser controlado por um aplicativo especial, de forma local ou remota, por meio de outro smartphone. As funcionalidades do aplicativo são ainda mais amplas e abrangem basicamente uma rede social completa, com bate-papos em grupo (!), galerias de fotos (!!), listas de amigos (!!!) e outros recursos.

Software: Conhecendo os usuários de brinquedos sexuais

Vamos começar com as vulnerabilidades do software. O diretório principal do site Vibratissimo foi fundado para conter um arquivo .DS_Store e, basicamente, uma lista de todas as pastas e arquivos nesse diretório possuem configurações adicionais, criadas pelo MacOS para exibir corretamente os ícones de arquivo e layout. Com isso, Werner foi capaz de decifrá-lo desse arquivo, descobrindo assim os nomes de todas as pastas inseridas no diretório principal.

O maior interesse estava na pasta Config, que continha um arquivo de mesmo nome com credenciais de login não criptografadas para acesso ao banco de dados. Foi assim que o pesquisador conseguiu encontrar uma interface para conectar-se ao banco de dados, inserir as credenciais de login e obter acesso a informações de todos os usuários Vibratissimo, incluindo seus nomes de usuário e senhas (novamente armazenados sem criptografia), além de bate-papos, imagens e vídeos. Que tipo de bate-papos e imagens podem ser encontrados em uma rede social baseada em brinquedos sexuais? Provavelmente bastante pessoais.

Outro problema identificado é que, quando uma galeria é criada no aplicativo, recebe um ID. E quando você deseja ver a galeria, o aplicativo envia uma solicitação que inclui esse ID. Para fins de teste, Werner criou uma galeria com duas fotos de gatos, obteve o ID e depois pensou: O que aconteceria se o ID fosse levemente modificado na solicitação, subtraindo um deles? Como resultado, ele ganhou acesso à galeria de outra pessoa (que para dizer o mínimo, não continha fotos de gatos).

O aplicativo também permite que os usuários criem um link de controle rápido para ligar remotamente o dispositivo, que os proprietários podem compartilhar com outras pessoas (para relacionamentos de longa distância e coisas do tipo). Nenhuma confirmação é necessária quando alguém usa o link – o dispositivo é ligado imediatamente. O link também contém um ID. Adivinhe agora o que acontece se você subtrair uma destas identidades? Acertou! O dispositivo de outra pessoa é ligado ali mesmo.

Além disso, durante o processo de autenticação ao efetuar o login no telefone, o aplicativo envia uma solicitação ao servidor com o nome de usuário e a senha não criptografados, por meio de um texto também sem criptografia, o que significa que em uma rede pública qualquer pessoa pode interceptá-los – não é exatamente o estado da arte da segurança. Haviam outras vulnerabilidades de software, mas não tão significativas quanto os problemas encontrados nos níveis de transporte (comunicação do dispositivo) e hardware.

Interface: Conectando-se com estranhos

 Como já mencionado anteriormente, o Vibratissimo PantyBuster se conecta a um smartphone via Bluetooth. Mais especificamente, por Bluetooth Low Energy, que permite a implementação de uma das cinco técnicas de emparelhamento – meios de troca de senha para estabelecer uma conexão entre os dispositivos. A chave de acesso a ser inserida no dispositivo pode ser gravada no próprio aparelho, mostrada no visor ou conhecida antecipadamente (pode ser, por exemplo, 0 ou 1234). Adicionalmente, os dispositivos podem trocar chaves de acesso usando NFC, ou não haverá emparelhamento algum.

O PantyBuster não possui tela e não é habilitado para NFC, então essas opções podem ser eliminadas. Duas das opções restantes são um pouco seguras, mas os criadores do dispositivo valorizaram a simplicidade acima de tudo, e então escolheram uma abordagem básica e insegura: sem emparelhamento. Isso significa que se alguém souber e enviar o comando de ativação do dispositivo, todos os PantyBusters vibrarão em uníssono. Assim, qualquer pessoa com o aplicativo ativado pode, por exemplo, passear pelo metrô e surpreender agradavelmente qualquer proprietário “sortudo” que estiver viajando com o seu dispositivo.

Werner escreveu um programa simples que verifica os dispositivos Bluetooth LE habilitados nas proximidades, verificando se eles são brinquedos sexuais e, em caso afirmativo, os ativando na potência máxima. Caso alguém esteja se perguntando, essa ação não é considerada estupro, de acordo com a lei austríaca, podemos dizer que o código criminal do país contém um parágrafo sobre “atos sexuais indesejados”, e algumas outras regiões também podem utilizar essa legislação.

Hardware: O que tem dentro?

 Em primeiro lugar, não há opção para atualizar o firmware. Em outras palavras, o fabricante pode fazer isso, mas não o usuário. Quando informado sobre a pesquisa de Werner, a empresa sugeriu que os usuários devolvessem os seus dispositivos para serem atualizados e afirmou que os acessórios depois seriam reenviados de volta para eles. Porém, é improvável que alguém queira enviar um brinquedo sexual usado para a manutenção.

Em segundo lugar, se o dispositivo for aberto, é possível encontrar interfaces que o fabricante usou para depuração e depois esqueceu de fechar. Essas interfaces podem ser usadas para extrair e analisar o firmware do dispositivo.

Problemas de IoT continuam surgindo

Na conversa de meia hora de Werner apresentou inúmeros problemas e poucas soluções, em grande parte, porque não havia nenhuma. É claro que Werner procurou o fabricante e juntos corrigiram a maior parte dos problemas no aplicativo e nos novos dispositivos, mas os problemas de hardware nos produtos já vendidos ainda estão por aí.

Agora, nos resta apenas repetir os conselhos que damos em quase todos os posts sobre coisas inteligentes: antes de comprar um dispositivo inteligente, leia sobre ele online. E pondere cuidadosamente (pelo menos dez vezes) se você realmente precisa desses recursos “inteligentes”. Talvez você possa se contentar com uma versão padrão da mesma coisa, que não se conecta à internet e não é controlada por um aplicativo. Será mais barato e definitivamente mais seguro.