A chegada da Internet aos nossos equipamentos do dia-a-dia representa novos desafios de segurança e de protecção de dados dos utilizadores. Cada vez mais são alvos de ataques e até podem ser usados para conseguirem eles próprios realizar novos ataques.
Se a este ecossistema juntarmos os mais recentes problemas de segurança, então a questão fica ainda maior. Dois investigadores mostraram aqui que até um simples termóstato pode ser atacado e, neste caso, ser vítima de ransomware.
Estes dois investigadores de segurança testaram a protecção que um simples termóstato e conseguiram com extrema facilidade bloqueá-la, obrigando ao pagamento de uma “quantia simbólica de 1 bitcoin”.
Este aparelho, que permite aos utilizadores alterarem a imagem de fundo do seu mostrador e a configuração de outros elementos, corre uma versão de Linux. A falha está nas permissões que são dadas por este equipamento, que corre com o utilizador root. Há ainda o problema de não verificar o tipo de ficheiro que recebe, abrindo assim a porta para ser atacado.
Em poucos minutos foi possível correr um simples ficheiro javascript, escondido numa imagem, e exibir depois a mensagem de resgate. Os atacantes podem também controlar a temperatura dos termóstatos, aumentando-a ou diminuindo-a a seu gosto.
Os dois investigadores que descobriram este problema admitem que infectá-lo pode não ser tão simples como poderia ser esperado. Existe a necessidade de haver acesso físico ao equipamento, para que depois seja carregada, via cartão SD, a imagem infectada. Ultrapassado este passo, o mais difícil de todos, é possível aos atacantes controlar remotamente este termóstato.
Por ter sido descoberta imediatamente antes de ser apresentada, os investigadores optaram por omitir a marca destes termóstatos. A empresa que o fabrica já foi contactada para resolver este problema e proteger os seus equipamentos contra estes ataques.
Esta é apenas mais uma prova que a Internet das Coisas e todos os equipamentos associados precisam de ser bem protegidos contra vulnerabilidades de segurança. É uma área nova e onde ainda se anda a descobrir como pode ser usada, mas estas preocupações devem estar presentes desde o primeiro dia!
Thermostat Ransomware: a lesson in IoT security
Leia também: Ransomware: Sabe o que é e como se previne?