{"id":11270,"date":"2019-01-24T16:29:35","date_gmt":"2019-01-24T19:29:35","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11270"},"modified":"2019-11-22T07:10:47","modified_gmt":"2019-11-22T10:10:47","slug":"35c3-insecure-sex-toy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/35c3-insecure-sex-toy\/11270\/","title":{"rendered":"Um pequeno brinquedo sexual com grandes problemas"},"content":{"rendered":"

Werner Schober \u00e9 um pesquisador da SEC Consult e estudante da Universidade Austr\u00edaca de Ci\u00eancias Aplicadas. Em seu quinto ano, ele enfrentou um problema com o qual muitos de n\u00f3s est\u00e3o bem familiarizados: escolher o tema da tese.<\/p>\n

Ele come\u00e7ou a cria\u00e7\u00e3o do seu trabalho a partir de uma nuvem de tags com palavras de temas selecionados por seus colegas de curso. Todas as express\u00f5es da moda relacionadas com TI estavam l\u00e1: bitcoin, GDPR, cloud, etc. Mas, por algum motivo, n\u00e3o havia nenhuma men\u00e7\u00e3o ao termo Internet das Coisas (IoT)<\/a>, assunto super em alta nos dias de hoje. Foi uma pessoa completamente leiga em rela\u00e7\u00e3o ao seu trabalho, que lhe deu a justa sugest\u00e3o de PenTest, tamb\u00e9m conhecido como Teste de Intrus\u00e3o (ou seja, hackear dispositivos e redes com intuito de encontrar vulnerabilidades neles) que poderia ser aplicado em sua pesquisa.
\nNo entanto, a Internet das Coisas (IoT) \u00e9 um conceito muito amplo, que abrange praticamente tudo, desde luzes de sem\u00e1foros e marca-passos card\u00edacos a bules de ch\u00e1 inteligentes. Logo, deveria focar e diminuir seu objeto de an\u00e1lise emp\u00edrica. Mas as infraestruturas cr\u00edticas que usam IoT \u2013 como os sem\u00e1foros e os marca-passos \u2013 j\u00e1 haviam sido pesquisados profundamente, assim como a casa inteligente, equipada com chaleiras e l\u00e2mpadas inteligentes, que fizeram parte de uma an\u00e1lise completa<\/a> \u2013 sem restar nenhuma vulnerabilidade realmente cr\u00edtica para abordar. Em \u00faltimo caso ele pensou: e se o cortador de grama inteligente tivesse um ataque de nega\u00e7\u00e3o de servi\u00e7o (DDoSed)? Ele mesmo tinha a resposta: apenas corte a grama voc\u00ea mesmo por um dia.<\/p>\n

Sendo assim, Werner optou por uma subcategoria de IoT que n\u00e3o havia sido amplamente pesquisada (embora existam estudos sobre o tema, j\u00e1 que os hackers s\u00e3o fascinados por tudo aquilo que \u00e9 proibido) e na qual as vulnerabilidades poderiam levar a consequ\u00eancias reais: brinquedos sexuais inteligentes.<\/p>\n

Werner testou tr\u00eas dispositivos: dois chineses e um alem\u00e3o. Adivinha qual deles continha mais vulnerabilidades? Spoiler: o \u00faltimo. E como! As vulnerabilidades tornaram-se t\u00e3o cr\u00edticas e t\u00e3o numerosas que Werner abandonou completamente os dispositivos chineses e dedicou toda a sua tese ao dispositivo alem\u00e3o. Ele relatou suas descobertas no 35\u00ba Chaos Communication Congress (35C3)<\/a>.<\/p>\n

O dispositivo alem\u00e3o \u00e9 conhecido comoVibratissimo PantyBuster. Via Bluetooh \u00e9 conectado a um smartphone Android ou iOS e pode ser controlado por um aplicativo especial, de forma local ou remota, por meio de outro smartphone. As funcionalidades do aplicativo s\u00e3o ainda mais amplas e abrangem basicamente uma rede social completa, com bate-papos em grupo (!), galerias de fotos (!!), listas de amigos (!!!) e outros recursos.<\/p>\n

Software: Conhecendo os usu\u00e1rios de brinquedos sexuais<\/strong><\/h3>\n

Vamos come\u00e7ar com as vulnerabilidades do software. O diret\u00f3rio principal do site Vibratissimo foi fundado para conter um arquivo .DS_Store e, basicamente, uma lista de todas as pastas e arquivos nesse diret\u00f3rio possuem configura\u00e7\u00f5es adicionais, criadas pelo MacOS para exibir corretamente os \u00edcones de arquivo e layout. Com isso, Werner foi capaz de decifr\u00e1-lo desse arquivo, descobrindo assim os nomes de todas as pastas inseridas no diret\u00f3rio principal.<\/p>\n

O maior interesse estava na pasta Config, que continha um arquivo de mesmo nome com credenciais de login n\u00e3o criptografadas para acesso ao banco de dados. Foi assim que o pesquisador conseguiu encontrar uma interface para conectar-se ao banco de dados, inserir as credenciais de login e obter acesso a informa\u00e7\u00f5es de todos os usu\u00e1rios Vibratissimo, incluindo seus nomes de usu\u00e1rio e senhas (novamente armazenados sem criptografia), al\u00e9m de bate-papos, imagens e v\u00eddeos. Que tipo de bate-papos e imagens podem ser encontrados em uma rede social baseada em brinquedos sexuais? Provavelmente bastante pessoais.<\/p>\n

Outro problema identificado \u00e9 que, quando uma galeria \u00e9 criada no aplicativo, recebe um ID. E quando voc\u00ea deseja ver a galeria, o aplicativo envia uma solicita\u00e7\u00e3o que inclui esse ID. Para fins de teste, Werner criou uma galeria com duas fotos de gatos, obteve o ID e depois pensou: O que aconteceria se o ID fosse levemente modificado na solicita\u00e7\u00e3o, subtraindo um deles? Como resultado, ele ganhou acesso \u00e0 galeria de outra pessoa (que para dizer o m\u00ednimo, n\u00e3o continha fotos de gatos).<\/p>\n

O aplicativo tamb\u00e9m permite que os usu\u00e1rios criem um link de controle r\u00e1pido para ligar remotamente o dispositivo, que os propriet\u00e1rios podem compartilhar com outras pessoas (para relacionamentos de longa dist\u00e2ncia e coisas do tipo). Nenhuma confirma\u00e7\u00e3o \u00e9 necess\u00e1ria quando algu\u00e9m usa o link \u2013 o dispositivo \u00e9 ligado imediatamente. O link tamb\u00e9m cont\u00e9m um ID. Adivinhe agora o que acontece se voc\u00ea subtrair uma destas identidades? Acertou! O dispositivo de outra pessoa \u00e9 ligado ali mesmo.<\/p>\n

Al\u00e9m disso, durante o processo de autentica\u00e7\u00e3o ao efetuar o login no telefone, o aplicativo envia uma solicita\u00e7\u00e3o ao servidor com o nome de usu\u00e1rio e a senha n\u00e3o criptografados, por meio de um texto tamb\u00e9m sem criptografia, o que significa que em uma rede p\u00fablica qualquer pessoa pode intercept\u00e1-los \u2013 n\u00e3o \u00e9 exatamente o estado da arte da seguran\u00e7a. Haviam outras vulnerabilidades de software, mas n\u00e3o t\u00e3o significativas quanto os problemas encontrados nos n\u00edveis de transporte (comunica\u00e7\u00e3o do dispositivo) e hardware.<\/p>\n

Interface: Conectando-se com estranhos<\/strong><\/h3>\n

\u00a0<\/strong>Como j\u00e1 mencionado anteriormente, o Vibratissimo PantyBuster se conecta a um smartphone via Bluetooth. Mais especificamente, por Bluetooth Low Energy, que permite a implementa\u00e7\u00e3o de uma das cinco t\u00e9cnicas de emparelhamento \u2013 meios de troca de senha para estabelecer uma conex\u00e3o entre os dispositivos. A chave de acesso a ser inserida no dispositivo pode ser gravada no pr\u00f3prio aparelho, mostrada no visor ou conhecida antecipadamente (pode ser, por exemplo, 0 ou 1234). Adicionalmente, os dispositivos podem trocar chaves de acesso usando NFC, ou n\u00e3o haver\u00e1 emparelhamento algum.<\/p>\n

O PantyBuster n\u00e3o possui tela e n\u00e3o \u00e9 habilitado para NFC, ent\u00e3o essas op\u00e7\u00f5es podem ser eliminadas. Duas das op\u00e7\u00f5es restantes s\u00e3o um pouco<\/em> seguras, mas os criadores do dispositivo valorizaram a simplicidade acima de tudo, e ent\u00e3o escolheram uma abordagem b\u00e1sica e insegura: sem emparelhamento. Isso significa que se algu\u00e9m souber e enviar o comando de ativa\u00e7\u00e3o do dispositivo, todos os PantyBusters vibrar\u00e3o em un\u00edssono. Assim, qualquer pessoa com o aplicativo ativado pode, por exemplo, passear pelo metr\u00f4 e surpreender agradavelmente qualquer propriet\u00e1rio \u201csortudo\u201d que estiver viajando com o seu dispositivo.
\n
\nWerner escreveu um programa simples que verifica os dispositivos Bluetooth LE habilitados nas proximidades, verificando se eles s\u00e3o brinquedos sexuais e, em caso afirmativo, os ativando na pot\u00eancia m\u00e1xima. Caso algu\u00e9m esteja se perguntando, essa a\u00e7\u00e3o n\u00e3o \u00e9 considerada estupro, de acordo com a lei austr\u00edaca, podemos dizer que o c\u00f3digo criminal do pa\u00eds cont\u00e9m um par\u00e1grafo sobre \u201catos sexuais indesejados\u201d, e algumas outras regi\u00f5es tamb\u00e9m podem utilizar essa legisla\u00e7\u00e3o.<\/p>\n

Hardware: O que tem dentro?<\/strong><\/h3>\n

\u00a0<\/strong>Em primeiro lugar, n\u00e3o h\u00e1 op\u00e7\u00e3o para atualizar o firmware. Em outras palavras, o fabricante pode fazer isso, mas n\u00e3o o usu\u00e1rio. Quando informado sobre a pesquisa de Werner, a empresa sugeriu que os usu\u00e1rios devolvessem os seus dispositivos para serem atualizados e afirmou que os acess\u00f3rios depois seriam reenviados de volta para eles. Por\u00e9m, \u00e9 improv\u00e1vel que algu\u00e9m queira enviar um brinquedo sexual usado para a manuten\u00e7\u00e3o.<\/p>\n

Em segundo lugar, se o dispositivo for aberto, \u00e9 poss\u00edvel encontrar interfaces que o fabricante usou para depura\u00e7\u00e3o e depois esqueceu de fechar. Essas interfaces podem ser usadas para extrair e analisar o firmware do dispositivo.<\/p>\n