Read, hack, repeat

Campainhas inteligentes enviam dados não criptografados para China e podem ser facilmente invadidas

Guilherme Petry

O grupo britânico de direitos do consumidor, Witch?, encontrou vulnerabilidades de todos os níveis de segurança em 11 campainhas inteligentes (IoT) diferentes. As vulnerabilidades foram encontradas em parceria com pesquisadores de segurança do NCC Group.

A pesquisa identificou vulnerabilidades de todos os níveis, que vão desde políticas de senha fracas (o que permite que criminosos adivinhem a senha padrão de fábrica), coleta excessiva de dados e até ausência de criptografia, o que permite que cibercriminosos tenham acesso a informações expostas com baixo nível de proteção.

Essas vulnerabilidades, principalmente a ausência de criptografia nos dados coletados, são portas que podem levar a outros ataques mais graves como descobrir a senha da rede no qual a campainha está conectada, possibilitando que um cibercriminosos acesso os outros dispositivos conectados na mesma rede da campainha.

Os 11 dispositivos testados foram comprados na Amazon e no eBay, dois dos mais populares e-commerces dos Estados Unidos. Muitos desses dispositivos estavam em listas de mais vendidos, com comentários e avaliações positivas. Alguns ainda indicavam ser “escolha da Amazon”.

Os pesquisadores descobriram que a campainha inteligente Victure VD300, vendida na Amazon por cerca de R$ 450,00, envia informações não criptografadas, incluindo informações da rede Wiffi que está conectada para servidores na China. Já o Qihoo 360 D819, também vendido na Amazon pela mesma faixa de preço, grava e armazena o vídeo sem criptografia.

Assim como as campainhas da Victure e da Qihoo, a câmera de vigilância inteligente, CT-WDB 02 da Tronics também possui uma vulnerabilidade que permite que invasores furtem senhas da rede no qual ela está conectada.

Alguns dispositivos genéricos, sem marca definida, testados pelo NCC Group também apresentam vulnerabilidades que permitem que cibercriminosos descubram a senha WPA2 da rede Wi-Fi, além de outras falhas que se exploradas podem fazer o equipamento desligar completamente.

O grupo que defende os direitos dos consumidores entrou em contato com a Amazon e com o eBay sobre os resultados que encontraram. O eBay informou que removeu os anúncios de venda dos produtos vulneráveis. Mas a Amazon disse que trabalha em conformidade com a lei, além de utilizar ferramentas “líderes da indústria” para evitar que produtos inseguros sejam vendidos no site.


Fonte: Which?

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.