Há mais de 110 mil babás eletrônicas expostas na web — uma delas pode ser a sua

Elas surgiram tímidas no mercado, mas logo se transformaram em um item tanto nas casas quanto nas creches — estamos falando das babás eletrônicas, dispositivos projetados para permitir que os tutores “continuem de olho” em crianças mesmo à distância. Geralmente, eles se traduzem em uma câmera equipada com microfone e conectividade com a internet, enviando um feed de vídeo e áudio em tempo real que você pode assistir no PC ou celular.

• Família descobre que estava sendo observada por uma babá eletrônica
• Galaxy S5 tem função de 'babá eletrônica' para monitorar choro de crianças
• Segurança para IoT: preocupação dos consumidores e oportunidade para operadoras

Parece uma invenção maravilhosa — e realmente é, caso você saiba configurá-la corretamente. Um assustador levantamento do coletivo de pesquisadores Safety Detectives mostrou que existem mais de 110 mil babás eletrônicas expostas a ataques cibernéticos na web. Essa exposição é decorrente da má-configuração dos dispositivos e permite que terceiros vigiem seus filhos, até mesmo capturando imagens íntimas para fins escusos.

Segundo Jim Wilson, membro do coletivo em questão, as investigações sobre tal assunto começaram em dezembro de 2020, depois que os especialistas perceberam que a maioria das babás eletrônicas disponíveis no mercado usam o Protocolo de Transmissão em Tempo Real (Real Time Streaming Protocol ou simplesmente RTSP), um padrão de transmissão de vídeo e áudio ao vivo que foi inventado em 1998.

O RTSP, em si, não é vulnerável por padrão. O problema é que a maioria dos utilizadores se esquecem (ou simplesmente não se importam) de configurar uma senha para acessar o stream da câmera. Com isso, fica fácil para qualquer criminoso com conhecimentos técnicos identificar babás “abertas” na rede e visualizar as imagens que estão sendo transmitidas. Os membros do Safety Detectives não tiveram dificuldades em fazer isso.

Embora diversos outros modelos também possam estar suscetíveis à mesma fraqueza, os pesquisadores sinalizaram que grande parte das transmissões desprotegidas encontradas são oriundas de quatro aparelhos e servidores: Hipcam RealServer/V1.0, H264DVR 1.0, webcamXP 5 e Boa/0.94. 14rc21. Além do Brasil, também foi possível encontrar babás vulneráveis na Argentina, Austrália, Canadá, França, Alemanha e mais 13 países.

Para encontrar os dispositivos, a equipe utilizou o Shodan, ferramenta que funciona como um “Google da Internet das Coisas”, permitindo a pesquisa de servidores e dispositivos conectados à web. “Embora existam outros dispositivos mal configurados, optamos por focar nossa pesquisa em babás eletrônicas. O risco envolvido no uso indevido de um monitor para bebês é maior do que com muitos outros produtos”, explicam.

Problema recorrente

Embora a pesquisa do Safety Detectives foque especificamente em equipamentos que utilizam o padrão RTSP, é importante lembrar que esta não é a primeira vez que especialistas alertam para riscos de babás eletrônicas conectadas à web. Em 2015, a firma de segurança Rapid7 testou nove modelos e encontrou brechas em todos, incluindo a falta de criptografia na transmissão e uso de senhas padronizadas em todas as unidades.

Mais recentemente, em fevereiro de 2020, durante o evento RSA Conference, pesquisadores da Bitdefender emitiram um alerta para graves falhas encontradas em um modelo específico, o iBaby Monitor M6S (que é inclusive comercializado por aqui). No caso, o gadget estava vazando as credenciais dos usuários, então criminosos poderiam atacá-lo mesmo se o utilizador tivesse usado uma senha forte.

É importante ressaltar dois fatores aqui. Primeiro, babás eletrônicas se tornaram extremamente populares em creches, um tipo de estabelecimento que nem sempre adota as medidas adequadas de proteção de dados por não contar com mão-de-obra qualificada. Ademais, esses aparelhos costumam ter comunicação de via dupla — ou seja, ao invadir um monitor, o criminoso também seria capaz de se comunicar com a criança.

Como se proteger

A primeira coisa que devemos fazer ao adquirir um gadget desse gênero é configurar credenciais fortes, usando senhas que sejam difíceis de adivinhar. Jamais utilize a password padrão do equipamento. Com isso, você já reduz uma grande chance de a babá eletrônica ser invadida — afinal, mesmo que o atacante consiga localizá-la, ele dificilmente será capaz de quebrar sua senha com força bruta.

Também é importante optar por equipamentos de fabricantes confiáveis e que tenham um histórico de prestar um bom pós-venda para seus clientes. Mantenha sempre seu monitor atualizado com os mais recentes firmwares disponibilizados para o próprio — além de trazer novos recursos, alguns desses updates corrigem vulnerabilidades críticas que podem ser exploradas por cibercriminosos.

Vale lembrar também que uma babá eletrônica é, no fim das contas, um produto IoT que depende do seu roteador para funcionar. De nada adianta configurá-lo corretamente caso sua rede doméstica esteja vulnerável. O Canaltech possui um artigo dedicado com uma série de dicas de como tornar seu roteador mais seguro contra ataques de criminosos — por mais que as orientações tenham sido escritas para auxiliar profissionais em home office, elas são igualmente válidas para proteger esses monitores.

Fonte: Safety Detectives, Inc., ThreatPost