Novos dispositivos, velhas ameaças

A palavra “wearable” (que em português seria usável) era apenas um adjetivo usado para descrever uma peça de roupa que fosse fácil de usar. Agora “wearable” é um substantivo que faz referência

A palavra “wearable” (que em português seria usável) era apenas um adjetivo usado para descrever uma peça de roupa que fosse fácil de usar. Agora “wearable” é um substantivo que faz referência a uma nova tendência em tecnologi que consiste em uma série de dispositivos móveis que os usuários utilizam em seu corpo, como relógios, lentes, etc.

A razão para que esse termo hoje seja tão usado dessa maneira é a Apple, que há muitos anos, realiza no mês de setembro um dos seus eventos especiais com o lançamento de novos dispositivos. Fiel à tardição, no último dia 9 de setembro a multinacional apresentou, entre outras coisas, o dispositivo wearable provavelmente mais esperado pelo público, desde a apresentação do Google Glass em 2013, o  Apple Watch.

O lançamento gerou diversos comentários entre os ususários e fãs da Apple. O meu colega Alex Savitsky fez um bom trabalho em analisar a segurança dos novos dispositivos da Apple e em resumir  os tipos de opiniões: as pessoas que se recusam a comprar produtos da Apple; aqueles que falam com ironia sobre como a Apple tem constantemente diminuído desde o lançamento do Mac Book Pro com retina display; aqueles que comprariam qualquer produto da Apple, ainda que o mesmo fosse lixo e que atacariam qualquer pesoa que dissesse que esse produto é lixo; e, finalmente, as pessoas que estão interessadas nos produtos inovadores e nas funções que eles trazem.

Bom, existe um problema que geralmente fica em segundo plano: a segurança. Os novos dispositivos, muitas vezes, são mais vulneráveis a ameaças online do que os dispositivos que já levam vários anos no mercado. Frequentemente, os novos produtos inovadores enfretam ameaças inovadoras. Nesse sentido, os dispositivos wearable como o Apple Watch ou o Google Glass, que reúnem toda a informação dos usuários, são o alvo perfeito para os cibercriminosos. Sobre isso, Roberto Martinez, analista d segurança do Global Reserach and Analysis Team (GReAT) da Kaspersky Lab, escreveu um artigo no qual detalha os aspectos mais vulneráveis do Google Glass.

As lentes do Google, por estarem baseados no Android, podem ter certas vulnerabilidades já conhecidas em outros dispositivos da mesma plataforma.

“Os novos dispositivos têm muitas coisas em comum: eles usam os mesmos protocolos e estão interligados com outros dispositivos que utilizam aplicativos similares. Não há maneira de contornar isso. Os vetores tradicionais dos ataques Man-in-the-middle (MITM) geralmente apontam as camadas da rede para poder explorar alguma vulnerabilidade no sistema operacional ou nos próprios aplicativos. As lentes do Google, por estarem baseados no Android, podem ter certas vulnerabilidades já conhecidas em outros dispositivos da mesma plataforma”, detalha Martinez.

Martinez explica que existe um ataque incrivelmente simples, descoberto inicialmente pela empresa de segurança móvel Lookout: “O Google Pass é ajustado para se conectar à Internet cada vez que tem que ler um código QR. Nesse sentido, a Lookout descobriu que o único que deveria fazer para commprometer o Glass do Google era criar um código QR e fazer com que as lentes leiam o código e pronto!. O dispositivo já se conectou a uma rede sem fio sob o controle de uma parte potencialmente maliciosa. Este é um exemplo perfeito das ameaça antigas (códigos QR maliciosos) que podem atuar de maneira muito efetiva contra os dispositivos novos”.

“Os computadores e os telefones móveis são  mais dificeis de atacar do que os dispositivos wearables. Isso ocorre porque a interfaz do Google Glass está composta de “cartões” atravpes dos quais o usuário acessa os aplicativos e opções. Nesse sentido, para automatizar certos procedimentos e funções, as opções de configuração são muito mais limitadas do que em um dispositivo tradicional. Isto se traduz em pouca o nenhuma intervenção do usuário nas funções do dispositivo”, explica Martinez.

Em um ataque mais técnico, em um ambiente de laboratório, Martinez usou uma ferramenta para enganar um dispositivo Google vidro em conexão com uma rede maliciosa quando pensei que estava se conectando a uma legítima. Isso, segundo ele, poderia ter implicações se um usuário do Google vidro foram tentando se conectar a uma porta de acesso Wi-Fi público.

“A automatização e a simplificação terminam convertendo uma porta aberta para os ataques dos hackers que buscam comprometer a informação privada dos usuários”, completa o especialista.

Durante as investigações no laboratório, Martinez conseguiu “enganar” o Google Glass para que ele se conecte a uma rede maliciosa, fazendo com que o dipositivo acredite que estava se conectando a uma rede legítima. Segundo Martinez, isto poderia ter graves consequências se os usuários se conectam através de uma rede pública de Wi-Fi. Embora muitas das informações que Martinez conseguiu ter do Google Glass estivesse criptografada, uma poarte importante era armazenada em texto plano:

“Encontramos informações suficientes em texto simples para correlacionar e juntar a navegação do usuário com dados sobre companhias aéreas, hotéis e locais de destino turístico que revelavam como e onde o dispositivo foi conectado. Nada muito sensível, mas em alguns casos, muito perigoso para as pessoas que desejam cometer atos ilícitos”.

No final, Martinez observou que a segurança nos dispositivos wereable deveria ser considerada como uma abordagem em camadas. Cada camada tem que contar com uma estratégia de segurança individual, com o objetivo de proteger a informação dos usuários.

No caso do Google Glass, Martinez afirma que a camada de segurança da rede pode ser exposta desde que o dispositivo se conecte a redes públicas e não tem a opção para conexões VPN garantindo assim que o tráfego seja capturados e analisado.

“Nos próximos meses, vamos ver os dispositivos wereable se tornando alvos de ataques cibernéticos. Por isso, destacamos a necessidade de prestar especial atenção a esses dispositivos, áss suas capacidades e às informações que eles armazenam”, concluiu.

Tradução: Juliana Costa Santos Dias

Dicas