Há alguns anos, empresas de segurança já alertam que dispositivos parte da Internet das Coisas (IoT), como sensores, câmeras e aparelhos simples de função única para uso doméstico não são nada confiáveis em termos de segurança. Além de serem uma porta de entrada para redes caseiras, eles podem ser sequestrados para a aplicação de diferentes golpes e ataques. Mas até que ponto esse tipo de vulnerabilidade pode ser explorado?
O especialista em segurança Martin Hron, da Avast, conseguiu invadir a própria cafeteira inteligente e instalar nela um ransomware. Ou seja, o dispositivo ficou totalmente inutilizado e só seria "devolvido" ao dono mediante pagamento de resgate — nos mesmos moldes do WannaCry, que preocupou o mundo em 2017.
O teste foi totalmente controlado e seria difícil reproduzir as mesmas condições remotamente, mas a ideia era mostrar como esses aparelhos são vulneráveis. A iKettle 3, usada no experimento, foi lançada em 2018 e não traz qualquer mecanismo de proteção na conexão Wi-Fi, com atualizações sendo enviadas do celular para o dispositivo sem criptografia ou confirmação. Foi por meio desse caminho que Hron conseguiu enviar o malware ao produto.
Como mostra o vídeo acima, publicado pelo site Arstechnica, a cafeteira inteligente passou a exibir uma mensagem de resgate com um enereço, além de uma ilustração de um emoji de diabo feita usando a pequena tela do aparelho. Ela não respondia aos comandos de preparo e operou sozinha, piscando luzes, despejando água e ativando o moedor de grãos mesmo sem qualquer conteúdo despejado.
A invasão promovida pelo pesquisador não é tão fácil de ser feita, já que envolve ainda a criação do firmware falso com base em engenharia reversa e conhecimento técnico avançado dos componentes da cafeteira. Porém, o sucesso indica a falta de cuidados em dispositivos IoT — um problema que já vem de anos e não parece ter evoluído o suficiente.
Fontes
Categorias