Se você acompanha nossas notícias sobre segurança cibernética, então essa notícia não deve ser nenhuma surpresa: muitos sistemas domésticos inteligentes foram concebidos com um nível baixo de segurança e, por causa disso, as casas nas quais estão instalados estes sistemas existe uma série grave de vulnerabilidades.
As casas inteligentes são exatamente o que você pensa que são. São lares cujo eletrodomésticos, sistemas de aquecimento e refrigeração, iluminação, detectores de fumaça e/ou fechaduras estão conectados a uma rede local e à internet, junto com os PCs e telefones móveis dos habitantes da casa. O sistema da “smart home” permite que os usuário manipulem e monitore à distância todos os dispositivos conectados a ele.
O problema é que ppesquisadores têm encontrado falhas nos sistemas de segurança inteligentes, nas fechaduras e todos os dispositivos conectados à Internet. Recentemente, nossos amigos da AV-Teste.org descobriram que quatro de sete kits de segurança de casas inteligentes colocados à prova, foram inseguros.
Obviamente, sete não é um número representativo à nível geral, é importante destacar que os dispositivos vulneráveis analisados na pesquisa poderiam ser explorados por ataques internos e, em alguns casos, ataques externos dirigidos à rede da casa ou às máquinas conectadas a ela.
Os sistemas analisados pela AV-Test foram: iConnect de ESaver, tapHome de EUROiSTYLE , Gigaset’s Elements, iComfort de REV Ritter, RWE’s Smart Home, QIVICON da Deutsche Telekom e Xavax MAX de Hama. Entre estes, a AV-Test descobriu que apenas os sistemas da Gigaset’s, RWE e QIVICON estavam bem equipados para se defenderem contra tentativas de ataques e acessos não autorizados. Os kits iComfort e tapHome tinha vulnerabilidades capazes de serem exploradas localmente, ou seja, que um cibercriminoso teria que estar dentro da casa para explorar os bugs. Mais sérios são os casos dos sets da iComfort e Xavax MAX que poderiam ser explorados tanto estando no local quanto à distância.
Cada produto oferece uma série de características diferentes. Em geral, estes são sistemas de controle de eletricidade, aquecimento e segurança; sistema de monitoramento para janelas e portas dos quartos.
De um modo geral, um cibercriminosos pode manipular sistemas conectados a fim de causar danos a eles (apagar o aquecedor e fazer com que os tubos estourem no inverno).
No entanto, a maioria dos cibercriminosos estão atrás de dinheiro. Portanto, os ataques mais prováveis são aquelas que usam os pontos fracos nesses sistemas como pontos de acesso para, eventualmente, obter dados importantes armazenados na rede doméstica. Também é possível comprometer dispositivos vulneráveis para executar ações de vigilância para um potencial alvo de roubo físico. Assim mesmo, um cibercriminosos experiente poderia abrir portas e tornar o roubo ainda mais fácil. O AV-Test alertou sobre a possibilidade de uma propagação de ransomware que bloqueia os dispositivos conectados ao sistema das casas inteligentes e que seriam utilizados para exigir dos usuários dinheiro em troca.
Os testes da AV-Test estavam focados em comprovar se a comunicação entre os dispositivos das casas inteligentes estavam criptografados, se os kits necessários de autenticação ativa pré-determinada (senhas de acesso físico ou da web) e que grau de suscetibilidade a ataques à distância possuíam os sistemas de segurança.
As comunicações para e desde Gigaset, RWE e produtos QIVICON estavam criptografadas e foram catalogadas como seguras pela AV-Test. iConnects também criptografa suas comunicações, mas AV-Test sinaliza que esta criptografia pode ser facilmente contornada. O restante dos produtos observados nos testes – iComfort, tapHome e Xavax MAX – falharam completamente no usa da criptografia.
Esta falha significa que todas as comunicações da casa inteligente poderiam ser facilmente interceptadas. Um cibercriminosos poderia, portanto, monitorar todas as comunicações de e para estes dispositivos, ter acesso aos códigos para manipular suas ações e conseguir informação para deduzir quando a casa estaria vazia.
Esta falha significa que todas as comunicações da casa inteligente poderiam ser facilmente interceptadas.
Tweet
O produto iComfort não requer nenhum tipo de autenticação, o que significa que um cibercriminoso poderia lançar ataques à distância. Os sistemas de iConnect e Xavax MAX exigem uma autenticação para acesso à Web, mas não para o acesso local, físico. A tapHome requer uma autenticação internamente, mas, segundo os teste da AV-Test, esta medida é em grande parte irrelevante, considerando a falta de criptografia do produto. Os sistemas da Gigaset’s Elements, RWE Smart Home e QIVICON possuem autenticação necessária para o acesso físico e Web (além da segurança na comunicação).
Aqui está a boa notícia: a AV-Test acredita que se os fabricantes destes produtos tiram um tempo para desenvolver um conceito sólido em segurança, no lugar de lançar seus produtos na pressa, então é possível criar sistemas de segurança seguros. A outra boa notícia é que se você está pensando em comprar um destes sistemas, a AV-Test recomenda que você procure aqueles que tenham sistemas de autenticação físicas e via web e que possuam comunicações criptografadas.
Tradução: Juliana Costa Santos Dias
Dicas