Pesquisa: dispositivos domésticos possuem várias vulnerabilidades perigosas

Não são somente os computadores pessoais, smartphones e tablets que estão à mercê dos hackers e de ameaças cibernéticas de segurança. O analista de segurança da Kaspersky Lab, David Jacoby, descobriu que vulnerabilidades de software e a falta de métodos de segurança básicos em dispositivos como Network Attached Storage (NAS), Smart TVs, roteadores, Blu-rays e outros são muito comuns e presentes na imensa maioria das residências.

O analista conduziu uma pesquisa experimental em sua própria casa para descobrir o quão vulneráveis são estes dispositivos em relação aos ataques cibernéticos. Dois modelos de NAS de marcas distintas, um receiver de sinal de satélite, uma impressora conectada e uma Smart TV foram examinadas. O resultado mostrou que foram encontradas 14 vulnerabilidades nos Network Attached Storage, uma vulnerabilidade presente na Smart TV e diversas funções de controle remoto que estavam escondidas no roteador.

A Kaspersky Lab não divulgou os nomes dos fornecedores dos equipamentos, como parte de sua política, mas é bem provável que diversas marcas sofram com os mesmos problemas, em maior escala ou não. É provável que as fabricantes sejam reveladas assim que um patch de segurança for disponibilizado para consertar os problemas que causam as vulnerabilidades.

Os Network Attached Storage foram os que apresentaram as mais graves vulnerabilidades de acordo com o estudo. Por meio delas é possível que um invasor execute um comando remotamente com direito aos mais altos privilégios administrativos. Não foi somente a execução remota o problema dos NAS, no entanto. Senhas e lotes de arquivos de configuração também demonstraram ter pouca proteção contra ataques. As senhas padrão eram fracas e os lotes possuíam permissões erradas e senhas em texto simples.

Jacoby conseguiu fazer o upload de um arquivo em uma área de memória de armazenamento inacessível para um usuário comum, somente utilizando uma vulnerabilidade separada. Se o arquivo fosse malicioso ele poderia ter comprometido seriamente o equipamento e outros dispositivos que estivessem conectados ao NAS. Para eliminar o arquivo carregado era necessário utilizar a mesma vulnerabilidade, o que não se trata de uma tarefa simples, que mesmo um especialista técnico enfrentaria dificuldades para realizar.

Na Smart TV, o analista descobriu que não foi utilizada nenhuma criptografia na comunicação entre a TV e o servidor do fornecedor. Com este problema é possível que um criminoso transfira dinheiro para uma conta enquanto o usuário tenta comprar um conteúdo via TV, por exemplo. Para provar a vulnerabilidade, o analista da Kaspersky conseguiu modificar o ícone da interface gráfica da Smart TV com uma imagem. Foi descoberto também que a Smart TV é capaz de executar o código Java que, juntamente com a capacidade de bloquear a troca de tráfego entre TV e Internet, acaba resultando em ataques maliciosos.

No estudo foi utilizado um roteador DSL que tinha função de fornecer acesso à internet sem fios para os dispositivos domésticos que possuíam várias características perigosas. De acordo com o pesquisador, funções de espionagem estavam escondidas no roteador, o que permitia o acesso através de exploração de uma vulnerabilidade bastante genérica disponibilizando para o criminoso as seções da interface chamadas "Webcam", "Configuração especializada em Telefonia", "Controle de Acesso", "WAN-Sensing" e "Update", que são invisíveis e não modificáveis para o dono do aparelho.

"Indivíduos e empresas precisam entender os riscos de segurança em torno de dispositivos conectados. Nós também precisamos ter em mente que nossa informação não é segura apenas porque temos uma senha forte, e que há um monte de coisas que não podemos controlar. Levei menos de 20 minutos para localizar e verificar vulnerabilidades extremamente graves em um dispositivo que parece seguro e até mesmo tem referências à segurança em seu nome. Como seria o resultado de uma pesquisa semelhante se fosse realizada em uma escala muito mais ampla do que apenas a minha sala de estar? Esta é apenas uma das muitas questões que precisam ser abordadas por fornecedores de dispositivos, pela comunidade de segurança e por usuários de tais aparelhos de forma colaborativa no futuro mais próximo. A outra questão importante é o ciclo de vida dos dispositivos. Como me foi informado em conversas com fornecedores, algumas dessas empresas não desenvolverão uma correção de segurança para os dispositivos vulneráveis que já estão ultrapassados. Geralmente, para essas empresas, o ciclo de vida desses aparelhos é de um ou dois anos, enquanto na vida real esse período é muito maior. Independentemente da forma como você olha para ela, não é uma política muito justa", disse David Jacoby, o autor da pesquisa.

Para dificultar os ataques de hackers e manter-se mais seguro utilizando dispositivos eletrônicos conectados, a Kaspersky relacionou algumas medidas que devem ser tomadas. A primeira delas é garantir que os aparelhos sempre estejam atualizados com os últimos updates de segurança e firmware. Também é importante que o usuário se certifique de alterar a senha padrão e o nome do usuário. Para os roteadores, a empresa sugere que cada dispositivo tenha a sua própria rede, restringindo assim a possibilidade de acesso ao aparelho. Além disso, isso pode dificultar o acesso a outros dispositivos, visto que eles não estarão conectados dentro de uma única rede.