{"id":21462,"date":"2023-07-05T12:09:16","date_gmt":"2023-07-05T15:09:16","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21462"},"modified":"2023-07-05T12:09:16","modified_gmt":"2023-07-05T15:09:16","slug":"pet-feeders-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/pet-feeders-vulnerabilities\/21462\/","title":{"rendered":"Alimentador inteligente para animais de estima\u00e7\u00e3o gera vazamento de dados"},"content":{"rendered":"<p>Todos os donos amam seus animais de estima\u00e7\u00e3o. E o que os animais de estima\u00e7\u00e3o amam acima de tudo? Carinho e comida, \u00e9 claro. Ou vice-versa: comida primeiro, carinho depois.<\/p>\n<p>Os alimentadores inteligentes de hoje s\u00e3o projetados para garantir que seu animal de estima\u00e7\u00e3o n\u00e3o fique com fome ou entediado enquanto voc\u00ea estiver fora. Mas qual \u00e9 a pontua\u00e7\u00e3o em termos de seguran\u00e7a cibern\u00e9tica? N\u00e3o \u00e9 l\u00e1 essas coisas\u2026<\/p>\n<h2>Alimentador inteligente para amigos peludos<\/h2>\n<p>Os alimentadores inteligentes est\u00e3o se tornando uma escolha popular para os donos de animais de estima\u00e7\u00e3o que n\u00e3o podem ficar em casa o dia todo. \u00c9 dif\u00edcil explicar para um gato ou cachorro por que voc\u00ea precisa sair de casa todas as manh\u00e3s em vez de ficar em casa para alimentar e passear\/brincar com eles, mas, com um alimentador inteligente, pelo menos eles n\u00e3o passam fome.<\/p>\n<p>Os primeiros alimentadores inteligentes eram dispositivos controlados por um temporizador offline que simplesmente mediam as por\u00e7\u00f5es de alimentos. Mas, \u00e0 medida que os sistemas de casas inteligentes se popularizaram, os alimentadores se tornaram mais complicados e receberam recursos extras. Agora, voc\u00ea pode n\u00e3o s\u00f3 definir uma programa\u00e7\u00e3o de distribui\u00e7\u00e3o de comida, mas tamb\u00e9m monitorar e at\u00e9 se comunicar remotamente com seu animal de estima\u00e7\u00e3o usando o microfone, o alto-falante e a c\u00e2mera integrados; muitos tamb\u00e9m aceitam controle de voz por meio de dispositivos externos, como o Amazon Alexa. Para isso, eles se conectam \u00e0 sua Wi-Fi dom\u00e9stica e s\u00e3o gerenciados por meio de um aplicativo em seu telefone.<\/p>\n<p>N\u00e3o \u00e9 dif\u00edcil imaginar que, se um dispositivo de casa inteligente tiver c\u00e2mera, microfone e acesso \u00e0 Internet, ele ser\u00e1 de grande interesse para os hackers. No que diz respeito \u00e0 seguran\u00e7a das c\u00e2meras IP (ou a falta dela), j\u00e1 <a href=\"https:\/\/www.kaspersky.com.br\/blog\/ip-cameras-unsecurity-eufy\/20469\/\" target=\"_blank\" rel=\"noopener\">usamos muita tinta digital<\/a>: hackers podem sequestrar monitores de beb\u00eas online para <a href=\"https:\/\/whdh.com\/news\/take-your-clothes-off-hacker-uses-security-system-to-talk-to-nanny-children-inside-home\/\" target=\"_blank\" rel=\"noopener nofollow\">assediar bab\u00e1s e assustar crian\u00e7as<\/a>, aspiradores de p\u00f3-rob\u00f4 podem <a href=\"https:\/\/www.kaspersky.com.br\/blog\/robot-vacuum-privacy\/20735\/\" target=\"_blank\" rel=\"noopener\">vazar fotos picantes de propriet\u00e1rios<\/a> ou o layout de sua casa e at\u00e9 mesmo l\u00e2mpadas inteligentes (!) foram usadas para realizar <a href=\"https:\/\/www.usatoday.com\/story\/tech\/2020\/02\/05\/how-to-avoid-smart-lights-getting-hacked\/4660430002\/\" target=\"_blank\" rel=\"noopener nofollow\">ataques a redes dom\u00e9sticas<\/a> .<\/p>\n<p>Agora \u00e9 a vez dos alimentadores inteligentes.<\/p>\n<h2>Tigela com vazamento<\/h2>\n<p>Nossos especialistas estudaram o popular <a href=\"https:\/\/finance.yahoo.com\/news\/dogness-intelligent-pet-products-climb-123000676.html\" target=\"_blank\" rel=\"noopener nofollow\">alimentador inteligente Dogness<\/a> e encontraram muitas vulnerabilidades que permitem a um invasor alterar a programa\u00e7\u00e3o de alimenta\u00e7\u00e3o, potencialmente colocando em risco a sa\u00fade do seu animal de estima\u00e7\u00e3o ou at\u00e9 mesmo transformar o alimentador em um dispositivo de espionagem. Alguns dos problemas de seguran\u00e7a mais frustrantes incluem o uso de credenciais codificadas, comunica\u00e7\u00e3o com a nuvem em texto n\u00e3o criptografado e um processo de atualiza\u00e7\u00e3o de firmware inseguro. Essas vulnerabilidades podem ser utilizadas para fornecer acesso n\u00e3o autorizado ao alimentador inteligente e us\u00e1-lo como plataforma de lan\u00e7amento para atacar outros dispositivos na rede dom\u00e9stica. Para obter detalhes sobre a metodologia de pesquisa, consulte <a href=\"https:\/\/securelist.com\/smart-pet-feeder-vulnerabilities\/110028\/\" target=\"_blank\" rel=\"noopener\">nosso relat\u00f3rio aprofundado<\/a> no Securelist. Aqui, por\u00e9m, vamos nos limitar aos furos que foram encontrados e os riscos que eles representam.<\/p>\n<h2>A raiz do problema<\/h2>\n<p>A principal vulnerabilidade no alimentador inteligente Dogness \u00e9 o servidor Telnet que permite o acesso root remoto via porta padr\u00e3o. Ao mesmo tempo, a <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/root-access\/\" target=\"_blank\" rel=\"noopener\">senha do superusu\u00e1rio<\/a> est\u00e1 codificada no firmware e n\u00e3o pode ser modificada, o que significa que um invasor que extrai o firmware pode recuperar facilmente a senha e obter acesso total ao dispositivo e, de fato, a <em>qualquer<\/em> dispositivo do mesmo modelo, pois todos t\u00eam a mesma senha de root. Tudo o que eles t\u00eam a fazer \u00e9 comprar o mesmo modelo de alimentador e analis\u00e1-lo.<\/p>\n<p>Ao fazer login remotamente via Telnet (para isso, o hacker precisa obter acesso remoto \u00e0 sua rede dom\u00e9stica) com acesso root, um intruso pode executar qualquer c\u00f3digo no dispositivo, alterar as configura\u00e7\u00f5es e roubar dados confidenciais, incluindo imagens de v\u00eddeo transferidas da c\u00e2mera do alimentador para a nuvem. Assim, o alimentador pode ser facilmente transformado em um dispositivo de espionagem com uma c\u00e2mera grande angular e um bom microfone.<\/p>\n<h2>Criptografia, algu\u00e9m?<\/h2>\n<p>Al\u00e9m da senha de root ser incorporada ao firmware e comum a todos os dispositivos, descobrimos uma vulnerabilidade n\u00e3o menos s\u00e9ria: o alimentador se comunica com a nuvem sem nenhuma criptografia. Os dados de autentica\u00e7\u00e3o tamb\u00e9m s\u00e3o transmitidos de forma n\u00e3o criptografada, o que significa que uma pessoa mal-intencionada nem precisa se preocupar em recuperar a senha de root do firmware: basta interceptar o tr\u00e1fego entre o alimentador e a nuvem, obter acesso ao dispositivo e, ent\u00e3o, atacar outros dispositivos na mesma rede por meio dele \u2014 o que coloca toda a infraestrutura dom\u00e9stica em risco.<\/p>\n<h2>Alexa, comece a latir!<\/h2>\n<p>Mas, apesar dos furos, a tigela ainda est\u00e1 cheia de surpresas. O alimentador Dogness pode se conectar ao Amazon Alexa para ser controlado de voz. Pr\u00e1tico, n\u00e3o? Basta dizer \u201cAlimentar!\u201d para Alexa. Voc\u00ea n\u00e3o precisa nem pegar o seu telefone.<\/p>\n<p>Mais uma vez, como voc\u00ea pode imaginar, uma seguran\u00e7a t\u00e3o relapsa por parte dos desenvolvedores traz consequ\u00eancias. O dispositivo recebe comandos do Alexa via MQTT (Message Queuing Telemetry Transport), e as credenciais de login s\u00e3o novamente escritas em texto n\u00e3o criptografado diretamente no arquivo execut\u00e1vel. O que novamente significa que elas s\u00e3o as mesmas para todos os dispositivos no mercado \u2013 ou seja, depois de conectar seu alimentador ao Alexa para usar o controle de voz, ele n\u00e3o \u00e9 mais <em>seu<\/em> alimentador.<\/p>\n<p>Ao se conectar ao servidor MQTT, um hacker pode coletar rapidamente os identificadores de todos os dispositivos semelhantes conectados ao servidor \u2013 ou seja, todos os alimentadores cujos propriet\u00e1rios decidiram usar o controle de voz. Depois disso, o cibercriminoso pode enviar qualquer um dos comandos dispon\u00edveis por controle de voz do servidor MQTT para qualquer alimentador de Dogness conectado ao Alexa com um identificador conhecido.<\/p>\n<p>Um cibercriminoso seria capaz de enviar comandos para mudar a programa\u00e7\u00e3o de alimenta\u00e7\u00e3o e as quantidades de comida medidas (concedendo ao seu animal de estima\u00e7\u00e3o um banquete digno de um rei ou um jejum monumental). Outro efeito colateral \u00e9 que um invasor pode enviar comandos especialmente formados para o alimentador repetidamente, tornando a interface de comando de voz inoper\u00e1vel.<\/p>\n<h2>Streaming \u2013 queira voc\u00ea ou n\u00e3o<\/h2>\n<p>\u00c0 medida que o estudo avan\u00e7ava, novas surpresas nos aguardavam em rela\u00e7\u00e3o ao upload de v\u00eddeo para a nuvem, de onde voc\u00ea pode transmiti-lo de volta para o telefone. Embora o aplicativo m\u00f3vel se conecte ao servidor usando o protocolo HTTPS seguro, descobriu-se que o pr\u00f3prio alimentador transmite dados para a nuvem sem nenhuma criptografia \u2013 via nosso velho conhecido HTTP. Al\u00e9m disso, o ID do dispositivo e a chave de upload (que \u00e9 codificada no bin\u00e1rio) s\u00e3o transmitidos para o servidor em texto n\u00e3o criptografado.<\/p>\n<p>Como a c\u00e2mera de alimenta\u00e7\u00e3o foi projetada para gravar e transmitir v\u00eddeo continuamente para o servidor, essa vulnerabilidade permite que invasores vejam e ou\u00e7am tudo o que acontece no campo de vis\u00e3o da c\u00e2mera.<\/p>\n<h2>Firmware nem t\u00e3o firme assim<\/h2>\n<p>Por fim, a cereja do bolo; em vez disso, o leite que o gato recebeu: o processo de atualiza\u00e7\u00e3o de firmware \u2014 o meio para corrigir os problemas acima \u2014 \u00e9 inseguro! Para atualizar, o alimentador baixa um arquivo com o novo firmware do servidor de atualiza\u00e7\u00e3o via HTTP n\u00e3o seguro. Sim, o arquivo \u00e9 protegido por senha, mas, como voc\u00ea provavelmente j\u00e1 adivinhou, essa senha est\u00e1 escrita em texto n\u00e3o criptografado em um dos scripts de atualiza\u00e7\u00e3o. E o URL do qual a vers\u00e3o mais recente do firmware \u00e9 baixada \u00e9 gerado com base na resposta recebida do servidor de atualiza\u00e7\u00e3o, cujo endere\u00e7o \u00e9 \u2013 sim, isso mesmo \u2013 costurado ao firmware existente.<\/p>\n<p>N\u00e3o h\u00e1 assinaturas digitais e nenhum outro m\u00e9todo de verifica\u00e7\u00e3o do firmware: o dispositivo baixa o arquivo com o novo firmware atrav\u00e9s de um canal n\u00e3o criptografado, descompacta-o usando a senha incorporada (e comum a todos os dispositivos) e o instala imediatamente. Isso significa que um invasor pode modificar o firmware e carregar o que quiser no dispositivo, adicionando recursos inesperados e indesejados.<\/p>\n<h2>Como se manter ativo?<\/h2>\n<p>Em um mundo ideal, todas essas falhas de seguran\u00e7a teriam sido remediadas pelo fabricante do alimentador por meio de uma atualiza\u00e7\u00e3o de firmware oportuna \u2013 antes que os hackers as conhecessem. De volta ao mundo real, informamos repetidamente o fabricante sobre as falhas, mas n\u00e3o tivemos resposta \u2013 desde outubro de 2022. Enquanto isso, todas as vulnerabilidades que encontramos ainda est\u00e3o nos alimentadores inteligentes Dogness que est\u00e3o sendo vendidos ao p\u00fablico. E isso representa uma s\u00e9ria amea\u00e7a ao bem-estar dos animais de estima\u00e7\u00e3o e \u00e0 privacidade dos donos.<\/p>\n<p>Recomendamos ler nosso <a href=\"https:\/\/www.kaspersky.com.br\/blog\/how-to-secure-smart-home\/20940\/\" target=\"_blank\" rel=\"noopener\">guia detalhado para configura\u00e7\u00e3o da seguran\u00e7a de casas inteligentes<\/a>. A maioria das recomenda\u00e7\u00f5es se aplica igualmente aos problemas do alimentador inteligente descritos acima. De qualquer forma, aqui est\u00e3o algumas dicas simples especificamente para os propriet\u00e1rios de alimentadores de Dogness:<\/p>\n<ul>\n<li>Verifique regularmente se h\u00e1 atualiza\u00e7\u00f5es de firmware.<\/li>\n<li>N\u00e3o use o Amazon Alexa para controlar seu alimentador de Dogness.<\/li>\n<li>Desative o streaming de v\u00eddeo para a nuvem ou posicione o alimentador em sua casa de modo que a c\u00e2mera n\u00e3o capture nada privado.<\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-use-vpn-on-routers\/48410\/\" target=\"_blank\" rel=\"noopener nofollow\">Configure uma conex\u00e3o VPN segura para acessar a Internet usando um roteador<\/a> compat\u00edvel com sua rede dom\u00e9stica \u2014 isso reduzir\u00e1 bastante o risco de ataques via protocolo HTTP n\u00e3o seguro.<\/li>\n<li>Se o seu roteador n\u00e3o for compat\u00edvel com VPN, crie uma rede Wi-Fi convidada e conecte o alimentador (e outros dispositivos de casa inteligente inseguros) a ela. Isso evitar\u00e1 ataques a outras partes da sua rede dom\u00e9stica se um dispositivo inteligente inseguro for hackeado.<\/li>\n<li>Use uma solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel em todos os dispositivos da sua casa. Recomendamos uma assinatura do <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> para oferecer prote\u00e7\u00e3o abrangente para todos os dispositivos em sua casa. Ele inclui <a href=\"https:\/\/www.kaspersky.com.br\/vpn-secure-connection?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____vpn___\" target=\"_blank\" rel=\"noopener\">acesso VPN de alta velocidade com largura de banda ilimitada<\/a>, al\u00e9m do monitoramento de mudan\u00e7as em sua rede dom\u00e9stica para detectar e rejeitar conex\u00f5es n\u00e3o autorizadas.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-family\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-family\" value=\"19875\">\n","protected":false},"excerpt":{"rendered":"<p>Os alimentadores inteligentes foram inventados para facilitar a vida dos donos de animais de estima\u00e7\u00e3o; no entanto, suas vulnerabilidades amea\u00e7am n\u00e3o s\u00f3 a privacidade dos donos, mas tamb\u00e9m a sa\u00fade de seus animais.<\/p>\n","protected":false},"author":2742,"featured_media":21463,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[218,413,830,332,572,53,40,690,269],"class_list":{"0":"post-21462","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ameacas","9":"tag-casa-inteligente","10":"tag-tips","11":"tag-hacking","12":"tag-iot","13":"tag-privacidade","14":"tag-seguranca","15":"tag-tecnologias","16":"tag-wi-fi"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pet-feeders-vulnerabilities\/21462\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pet-feeders-vulnerabilities\/25823\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/21264\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/10789\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/28521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pet-feeders-vulnerabilities\/26122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/26472\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pet-feeders-vulnerabilities\/28954\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pet-feeders-vulnerabilities\/27872\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pet-feeders-vulnerabilities\/35605\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pet-feeders-vulnerabilities\/11557\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/48461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pet-feeders-vulnerabilities\/20764\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pet-feeders-vulnerabilities\/30282\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pet-feeders-vulnerabilities\/34153\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pet-feeders-vulnerabilities\/26439\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pet-feeders-vulnerabilities\/32132\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pet-feeders-vulnerabilities\/31816\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2742"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21462"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21462\/revisions"}],"predecessor-version":[{"id":21468,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21462\/revisions\/21468"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21463"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}