{"id":23859,"date":"2025-06-06T10:11:16","date_gmt":"2025-06-06T13:11:16","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23859"},"modified":"2025-06-06T10:11:16","modified_gmt":"2025-06-06T13:11:16","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-in-smart-home-control-app\/23859\/","title":{"rendered":"Casa n\u00e3o t\u00e3o inteligente"},"content":{"rendered":"

As casas inteligentes de hoje est\u00e3o bem longe da fic\u00e7\u00e3o cient\u00edfica dos filmes do final dos anos 90<\/a>. Elas j\u00e1 s\u00e3o realidade para muitas pessoas que vivem em grandes cidades. J\u00e1 \u00e9 raro encontrar um apartamento moderno sem tomadas el\u00e9tricas inteligentes, um assistente de voz ou uma Smart TV. Em novas constru\u00e7\u00f5es, \u00e9 comum ver casas projetadas como inteligentes <\/em>desde o in\u00edcio, resultando em condom\u00ednios inteiros com intelig\u00eancia integrada<\/em>. Os moradores podem controlar n\u00e3o s\u00f3 os dispositivos no seu apartamento, mas tamb\u00e9m sistemas externos, como interfones, c\u00e2meras, port\u00f5es, medidores de consumo e alarmes de inc\u00eandio, tudo por meio de um \u00fanico aplicativo.<\/p>\n

Mas o que acontece se houver uma falha de seguran\u00e7a em um aplicativo como esse? Nossos especialistas da GReAT t\u00eam a resposta. Eles descobriram uma vulnerabilidade no aplicativo Rubetek Home e investigaram os poss\u00edveis riscos de seguran\u00e7a para os propriet\u00e1rios de casas inteligentes que, felizmente, n\u00e3o se concretizaram.<\/p>\n

Sobre o que era a vulnerabilidade?<\/h2>\n

Essa vulnerabilidade estava relacionada ao envio de dados confidenciais pelo aplicativo durante o processo de registro. Os desenvolvedores usaram a API do Bot do Telegram para coletar dados anal\u00edticos e enviar arquivos de depura\u00e7\u00e3o dos usu\u00e1rios para um chat privado da equipe de desenvolvimento por meio de um bot do Telegram.<\/p>\n

O problema \u00e9 que esses arquivos apresentavam, al\u00e9m das informa\u00e7\u00f5es do sistema, dados pessoais dos usu\u00e1rios e, mais grave ainda, tokens de atualiza\u00e7\u00e3o usados para autorizar o acesso \u00e0 conta do usu\u00e1rio. Poss\u00edveis invasores podem ter encaminhado todos esses arquivos para si usando o mesmo bot do Telegram. Para isso, eles poderiam obter o token do Telegram e o ID do chat do c\u00f3digo do aplicativo e, em seguida, percorrer os n\u00fameros sequenciais das mensagens que inclu\u00edam os arquivos.<\/p>\n

Recentemente, o registro de eventos via Telegram se tornou cada vez mais popular. \u00c9 pr\u00e1tico e r\u00e1pido receber notifica\u00e7\u00f5es importantes no aplicativo de mensagens. No entanto, essa abordagem requer cautela: recomendamos n\u00e3o incluir dados confidenciais nos registros do aplicativo. Tamb\u00e9m recomendamos desativar a op\u00e7\u00e3o de c\u00f3pia e encaminhamento de conte\u00fado nas configura\u00e7\u00f5es do grupo no Telegram ou utilizar o par\u00e2metro protect_content<\/em> ao enviar mensagens por meio de um bot do Telegram.<\/p>\n

Nota importante: entramos em contato com a Rubetek imediatamente ap\u00f3s descobrir a vulnerabilidade. <\/em>No momento desta publica\u00e7\u00e3o, o problema j\u00e1 havia sido corrigido.<\/em><\/p><\/blockquote>\n

Poss\u00edveis invasores poderiam ter obtido acesso aos dados que todos os aplicativos do usu\u00e1rio enviavam para o desenvolvedor. A lista desses dados \u00e9 inacredit\u00e1vel:<\/p>\n