casa inteligente

Casa não tão inteligente

Nossos especialistas da Equipe Global de Pesquisa e Análise (GReAT) descobriram uma vulnerabilidade perigosa em um aplicativo de controle de casa inteligente que permite que invasores desativem sistemas de segurança física

GReAT
6 jun 2025

As casas inteligentes de hoje estão bem longe da ficção científica dos filmes do final dos anos 90. Elas já são realidade para muitas pessoas que vivem em grandes cidades. Já é raro encontrar um apartamento moderno sem tomadas elétricas inteligentes, um assistente de voz ou uma Smart TV. Em novas construções, é comum ver casas projetadas como inteligentes desde o início, resultando em condomínios inteiros com inteligência integrada. Os moradores podem controlar não só os dispositivos no seu apartamento, mas também sistemas externos, como interfones, câmeras, portões, medidores de consumo e alarmes de incêndio, tudo por meio de um único aplicativo.

Mas o que acontece se houver uma falha de segurança em um aplicativo como esse? Nossos especialistas da GReAT têm a resposta. Eles descobriram uma vulnerabilidade no aplicativo Rubetek Home e investigaram os possíveis riscos de segurança para os proprietários de casas inteligentes que, felizmente, não se concretizaram.

Sobre o que era a vulnerabilidade?

Essa vulnerabilidade estava relacionada ao envio de dados confidenciais pelo aplicativo durante o processo de registro. Os desenvolvedores usaram a API do Bot do Telegram para coletar dados analíticos e enviar arquivos de depuração dos usuários para um chat privado da equipe de desenvolvimento por meio de um bot do Telegram.

O problema é que esses arquivos apresentavam, além das informações do sistema, dados pessoais dos usuários e, mais grave ainda, tokens de atualização usados para autorizar o acesso à conta do usuário. Possíveis invasores podem ter encaminhado todos esses arquivos para si usando o mesmo bot do Telegram. Para isso, eles poderiam obter o token do Telegram e o ID do chat do código do aplicativo e, em seguida, percorrer os números sequenciais das mensagens que incluíam os arquivos.

Recentemente, o registro de eventos via Telegram se tornou cada vez mais popular. É prático e rápido receber notificações importantes no aplicativo de mensagens. No entanto, essa abordagem requer cautela: recomendamos não incluir dados confidenciais nos registros do aplicativo. Também recomendamos desativar a opção de cópia e encaminhamento de conteúdo nas configurações do grupo no Telegram ou utilizar o parâmetro protect_content ao enviar mensagens por meio de um bot do Telegram.

Nota importante: entramos em contato com a Rubetek imediatamente após descobrir a vulnerabilidade. No momento desta publicação, o problema já havia sido corrigido.

Possíveis invasores poderiam ter obtido acesso aos dados que todos os aplicativos do usuário enviavam para o desenvolvedor. A lista desses dados é inacreditável:

Nome completo, endereço de e-mail, número de celular e o endereço do imóvel vinculado ao aplicativo
Lista de dispositivos vinculados ao sistema de casa inteligente
Informações sobre eventos registrados pelos dispositivos inteligentes, como se a proteção da casa foi ativada ou desativada, ou se algum som suspeito foi captado pelas câmeras
Informações do sistema sobre dispositivos na rede local da casa: endereço MAC, endereço IP e tipo de dispositivo
Endereços IP para conexão às câmeras via protocolo WebRTC
Capturas de imagem das câmeras inteligentes e dos interfones
Conversas do usuário com o suporte
Tokens que permitem iniciar uma nova sessão na conta do usuário

Usuários dos aplicativos para Android e iOS estavam em risco.

O que acontece se pessoas mal-intencionadas assumirem realmente o controle de sua casa inteligente?

Essa grande variedade de dados poderia ter possibilitado uma vigilância completa, permitindo saber quem mora onde e em quais dias não está em casa. Criminosos poderiam ter descoberto a rotina de alguém e, durante os horários em que o imóvel estivesse vazio, invadir o apartamento após desativar remotamente as câmeras e outros sistemas de segurança pelo aplicativo.

Embora uma invasão tão direta provavelmente fosse percebida, há ataques mais sutis possíveis. Por exemplo, explorando a vulnerabilidade, os invasores poderiam ter alterado remotamente as cores das lâmpadas inteligentes e a temperatura do piso, ligando e desligando as luzes sem parar, essas ações poderiam gerar um prejuízo financeiro considerável aos moradores.

O que é ainda mais perturbador foi o potencial de um invasor ter como alvo não somente um apartamento ou casa, mas milhares de moradores em um complexo inteiro. É claro que a desativação simultânea dos sistemas de controle de acesso não passaria despercebida pela administração do prédio, mas quanto tempo demoraria para entender o que estava acontecendo? E quais danos os moradores sofreriam nesse intervalo?

Como proteger sua casa smart

Lembre-se de que o tipo de vulnerabilidade que estamos discutindo também pode estar presente em outros aplicativos de casa inteligente. Sendo um entre milhões de clientes, você quase não tem como saber se um aplicativo foi comprometido. Portanto, se notar qualquer atividade suspeita, como pessoas desconhecidas na sua lista de convidados, portões ou portas abrindo e fechando sem autorização, entre outros sinais, recomendamos que entre em contato com o administrador do aplicativo e com o fornecedor o mais rápido possível.

Em uma situação normal, como utilizar dispositivos inteligentes apenas dentro do seu apartamento, sem um administrador de rede para recorrer, recomendamos que siga estas regras:

Proteja seu roteador Wi-Fi alterando a senha padrão para uma mais forte, desative o WPS e ative a criptografia WPA2.
Crie uma rede Wi-Fi dedicada para os dispositivos da casa inteligente e defina uma senha diferente para ela. Roteadores modernos oferecem redes para convidados, então, se, por exemplo, um berço inteligente for hackeado, os criminosos não poderiam ter acesso aos seus computadores ou smartphones.
Use o aplicativo Kaspersky Premium para verificar periodicamente se há dispositivos não autorizados conectados à sua rede. Se tudo estiver certo, o Smart Home Monitor mostrará somente informações sobre seus dispositivos.
Defina senhas fortes para cada dispositivo. Você não precisa memorizá-las: Kaspersky Password Manager pode cuidar disso para você.
Atualize regularmente o firmware de todos os seus dispositivos inteligentes, incluindo o roteador.

Confira estes links para explorar outros riscos potenciais de uma casa inteligente hackeada e formas de proteger sua propriedade.

AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay

Novas vulnerabilidades identificadas no AirPlay permitem ataques a dispositivos da Apple e outros produtos habilitados para AirPlay via Wi-Fi, incluindo exploits de zero clique.

FERRAMENTAS GRATUITAS

Casa não tão inteligente

Sobre o que era a vulnerabilidade?

O que acontece se pessoas mal-intencionadas assumirem realmente o controle de sua casa inteligente?

Como proteger sua casa smart

Como proteger a segurança doméstica

Os perigos de um futuro inteligente

AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay

Dicas

Desintoxicação digital: como fazer uma pausa segura das telas

É recomendável desativar o recurso Busca rápida da Microsoft em 2025?

Mudança de cor de azul para roxo: como os links visitados ameaçam a privacidade

Aplicativos de mensagens para iniciantes: conselhos sobre segurança e privacidade

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog