{"id":21143,"date":"2023-05-05T14:36:02","date_gmt":"2023-05-05T17:36:02","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21143"},"modified":"2023-05-05T14:36:50","modified_gmt":"2023-05-05T17:36:50","slug":"3-reasons-not-to-use-smart-locks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/3-reasons-not-to-use-smart-locks\/21143\/","title":{"rendered":"Tr\u00eas raz\u00f5es para n\u00e3o usar fechaduras inteligentes"},"content":{"rendered":"

Cadeados inteligentes podem ser realmente \u00fateis. H\u00e1 diversos no mercado e muitos tipos diferentes para escolher.
\nAlgumas fechaduras s\u00e3o capazes de detectar quando o propriet\u00e1rio (ou melhor, o smartphone) est\u00e1 se aproximando e abrir sem chave. Outras s\u00e3o controladas remotamente, permitindo abrir a porta para amigos ou parentes quando n\u00e3o h\u00e1 ningu\u00e9m em casa. Algumas ainda oferecem vigil\u00e2ncia por v\u00eddeo: algu\u00e9m toca a campainha e voc\u00ea v\u00ea imediatamente no smartphone quem \u00e9.<\/p>\n

No entanto, os dispositivos inteligentes trazem riscos com os quais os usu\u00e1rios de fechaduras offline tradicionais nunca precisariam se preocupar. Um estudo meticuloso desses riscos revela tr\u00eas motivos completos para manter o modo antigo. Vamos conferir\u2026<\/p>\n

Primeiro motivo: as fechaduras inteligentes s\u00e3o fisicamente mais vulner\u00e1veis do que as fechaduras normais<\/h2>\n

O problema aqui \u00e9 que as fechaduras inteligentes combinam dois conceitos diferentes. Em teoria, essas fechaduras devem ter um componente inteligente confi\u00e1vel e, ao mesmo tempo, fornecer prote\u00e7\u00e3o robusta contra adultera\u00e7\u00e3o f\u00edsica para que n\u00e3o possam ser abertas com uma chave de fenda ou um canivete, por exemplo. Combinar esses dois conceitos nem sempre funciona: o resultado geralmente \u00e9 uma fechadura inteligente fr\u00e1gil ou um cadeado de ferro resistente com software vulner\u00e1vel.<\/p>\n

J\u00e1 falamos sobre alguns exemplos particularmente not\u00f3rios de fechaduras incapazes de fazer seu trabalho em outro post<\/a>. Eles incluem um cadeado interessante com um scanner de impress\u00e3o digital \u2013 sob o qual h\u00e1 um mecanismo de abertura potencialmente acess\u00edvel a qualquer pessoa (uma alavanca). Al\u00e9m disso, um cadeado inteligente para bicicletas \u2013 que pode ser desmontado com uma chave de fenda.<\/p>\n

\"Exemplo<\/a>

O painel superior com o scanner de impress\u00e3o digital \u00e9 f\u00e1cil de remover com uma faca. O mecanismo de abertura \u00e9 acess\u00edvel sob o painel. Fonte<\/a><\/p><\/div>\n

Segundo motivo: problemas com o componente \u201cinteligente\u201d<\/h2>\n

Tornar o componente \u201cinteligente\u201d seguro o suficiente tamb\u00e9m n\u00e3o \u00e9 f\u00e1cil. \u00c9 importante lembrar que os desenvolvedores desses dispositivos geralmente priorizam a funcionalidade acima da prote\u00e7\u00e3o. O exemplo mais recente \u00e9 o Akuvox E11, um dispositivo criado n\u00e3o para uso dom\u00e9stico, mas para escrit\u00f3rios. O Akuvox E11 \u00e9 um interfone inteligente com um terminal para receber um fluxo de v\u00eddeo da c\u00e2mera embutida, al\u00e9m de um bot\u00e3o para abrir a porta. E, como \u00e9 um dispositivo inteligente, voc\u00ea pode control\u00e1-lo pelo aplicativo para smartphone.<\/p>\n

\"Interfone<\/a>

A fechadura Akuvox E11 possui m\u00faltiplas vulnerabilidades, permitindo o acesso n\u00e3o autorizado \u00e0s determinadas instala\u00e7\u00f5es sem quaisquer problemas. Fonte<\/a><\/p><\/div>\n

O software foi implementado<\/a> de tal forma que qualquer pessoa pode ter acesso ao v\u00eddeo e ao som da c\u00e2mera a qualquer momento. E se voc\u00ea n\u00e3o pensou em isolar a interface da Web da Internet, qualquer um poder\u00e1 controlar a fechadura e abrir a porta. Este \u00e9 um exemplo cl\u00e1ssico de desenvolvimento de software inseguro: solicita\u00e7\u00f5es de v\u00eddeo n\u00e3o t\u00eam verifica\u00e7\u00f5es de autoriza\u00e7\u00e3o; parte da interface da Web \u00e9 acess\u00edvel sem senha; e a senha \u00e9 f\u00e1cil de decifrar, devido \u00e0 criptografia com uma chave fixa que \u00e9 a mesma para todos os dispositivos.<\/p>\n

Quer mais exemplos? Aqui vai\u2026 Este artigo<\/a> fala sobre uma fechadura que permite que intrusos pr\u00f3ximos obtenham a senha da sua rede Wi-Fi. Aqui<\/a>, um cadeado inteligente protege mal a transfer\u00eancia de dados: um invasor pode escutar o canal de r\u00e1dio e tomar o controle. E aqui<\/a> est\u00e1 outro exemplo de uma interface da Web insegura.<\/p>\n

Terceiro motivo: o software precisa ser atualizado regularmente<\/h2>\n

Um smartphone t\u00edpico recebe atualiza\u00e7\u00f5es por dois ou tr\u00eas anos ap\u00f3s seu lan\u00e7amento. Quanto aos dispositivos IoT econ\u00f4micos, o suporte pode estar indispon\u00edvel ainda mais cedo. Atualizar um dispositivo inteligente pela Internet \u00e9 bastante simples. No entanto, manter o suporte a dispositivos requer recursos e dinheiro por parte do fornecedor.<\/p>\n

Isso por si s\u00f3 pode ser um problema, por exemplo, quando o fornecedor desativa a infraestrutura na nuvem<\/a> e o dispositivo para de funcionar. Mas, mesmo se a funcionalidade de bloqueio inteligente for preservada, vulnerabilidades desconhecidas do fornecedor no momento do lan\u00e7amento ainda podem aparecer.<\/p>\n

Por exemplo, em 2022, os pesquisadores descobriram<\/a> uma vulnerabilidade no protocolo Bluetooth de Baixo Consumo de Energia, que muitas empresas adotaram como padr\u00e3o para autentica\u00e7\u00e3o sem contato ao desbloquear v\u00e1rios dispositivos (incluindo bloqueios inteligentes). Essa vulnerabilidade abre a porta (por assim dizer) para os chamados ataques de relay, que exigem que o invasor esteja perto do propriet\u00e1rio da fechadura inteligente e use um equipamento especial (mas relativamente barato). Armado com esse hardware, o invasor pode retransmitir sinais entre o smartphone da v\u00edtima e a fechadura inteligente. Isso engana a fechadura inteligente fazendo-a pensar que o smartphone do propriet\u00e1rio est\u00e1 por perto (e n\u00e3o em um shopping center a cinco quil\u00f4metros de dist\u00e2ncia), e ent\u00e3o o dispositivo desbloqueia a porta.<\/p>\n

\"Exemplo<\/a>

Uma fechadura Kwikset vulner\u00e1vel a um ataque de relay, por meio de um bug no protocolo Bluetooth de Baixo Consumo de Energia. Fonte<\/a><\/p><\/div>\n

Como o software de cadeado inteligente \u00e9 altamente complexo, a probabilidade de conter vulnerabilidades graves nunca \u00e9 zero. Se uma for descoberta, o fornecedor deve lan\u00e7ar imediatamente uma atualiza\u00e7\u00e3o e envi\u00e1-la para todos os dispositivos vendidos. Mas e se o modelo foi descontinuado ou n\u00e3o for mais compat\u00edvel?<\/p>\n

Com os smartphones, resolvemos esse problema comprando um novo dispositivo a cada dois ou tr\u00eas anos. Com que frequ\u00eancia voc\u00ea planeja substituir uma fechadura da porta conectada \u00e0 Internet? Geralmente, esperamos que esses dispositivos durem d\u00e9cadas, n\u00e3o alguns anos (at\u00e9 que o fornecedor retire o suporte ou desapare\u00e7a do mercado).<\/p>\n

Ent\u00e3o, o que fazer?<\/h2>\n

Tenha em mente que todos os tipos de fechaduras (n\u00e3o apenas os inteligentes) podem se quebrar. No entanto, ao decidir instalar um dispositivo inteligente ao inv\u00e9s de uma fechadura padr\u00e3o, pense com cuidado: voc\u00ea realmente precisa poder abrir a porta usando seu smartphone? Se voc\u00ea responder sim a essa pergunta, pelo menos considere os seguintes pontos:<\/p>\n