Ok, IoT é bacana. Mas nós da The Hack já alertamos várias vezes sobre os perigos dessa tendência de “enfie-conectividade-em-tudo-o-que-você-ver” que podemos presenciar no mercado — uma postura que costuma ser adotada apenas para fins de marketing, no intuito de diferenciar seu produto da concorrência. O problema é quando a fabricante se esquece de alguns conceitos básicos de segurança e acaba entregando riscos ao consumidor.
O mais novo exemplo disso é Glamoriser Bluetooth Smart Straightener, uma chapinha alisadora fabricada pela britânica Glamoriser. A ideia é curiosa: você usa um aplicativo no seu celular para determinar, através de conectividade Bluetooth, a faixa ideal de temperatura do equipamento e especificar outras condições de uso (tipo do cabelo, frequência de alisamento etc.). Tudo isso pelo preço promocional de 80 libras (R$ 375).
O problema é que, de acordo com pesquisadores da Pen Test Partners, é muito fácil atacar tal dispositivo — caso você esteja no campo de cobertura do sinal Bluetooth — e alterar alguns parâmetros para, por exemplo, forçar o produto a operar em sua temperatura máxima (235°C) durante um elevado intervalo de tempo. Pode parecer um ato inofensivo, mas as consequências podem ser desastrosas.
Chapinhas — tal como outros equipamentos elétricos com falhas — são uma das principais causas de incêndio ao redor do mundo. Em 2016, o Serviço de Bombeiros e Resgate de Hampshire estimou que esses alisadores foram responsáveis por 650 mil casos de incêndio no Reino Unido. E, de fato, durante os testes, os pesquisadores conseguiram configurar a chapinha a um ponto em que ela poderia entrar em combustão sozinha.
Temos dois problemas aqui: a falta de autenticação entre a Smart Straightener e o dispositivo e o armazenamento aberto dos arquivos de log usados para registrar a comunicação entre os aparelhos. Dessa forma, foi fácil descobrir como enviar comandos remotamente para o produto da Glamoriser, Procurada pela Pen Test Partners, a empresa se recusou a comentar sobre o assunto.
Obviamente, este caso não é tão grave quanto outras vulnerabilidades já encontradas em dispositivos IoT; ainda assim, ele serve para lembrarmos o quão perigoso é usar conectividade em dispositivos que, sejamos sinceros, estariam muito bem caso continuassem 100% offline.
- Leia mais notícias sobre Vulnerabilidades.
Fonte: Naked Security, Pen Test Partners