Vulnerabilidades de segurança num tipo de robô aspirador pode permitir que hackers tenham acesso ao dispositivo. Assim, no controlo, estes podem enviar comandos e até vigiar o feed de vídeo das gravações feitas pelas câmaras embutidas no equipamento. Quem o diz são investigadores da empresa de cibersegurança Checkmarx. Segundo eles, há um robô de limpeza que tem uma falha grave e dá acesso a muita informação, até de dentro da habitação onde atua o aspirador.
Os novos dispositivos ligados à Internet das Coisas têm portas que devem estar devidamente vedadas a terceiros. Este é mais um caso, desta vez com vídeo, áudio e localização.
Espiar a casa “através dos olhos” do aspirador robô
Segundo o que foi reportado por investigadores da empresa de cibersegurança Checkmarx, existem possíveis falhas de segurança no aspirador inteligente Trifo Ironpie M6. Este dispositivo foi projetado para atuar com dupla função. Os ventiladores no disco giratório aspiram a sua casa, enquanto a câmara montada sobre ele funciona como um dispositivo de alta segurança. No entanto, a ligação deste robô à internet abre portas a múltiplas vulnerabilidades de segurança.
Uma das piores falhas permitiria que os atacantes remotos tivessem acesso aos fluxos de vídeo dos utilizadores, através do acesso aos servidores do Trifo. Outra vulnerabilidade permitiria que os hackers enviassem uma falsa atualização de software ao dispositivo, enganando os utilizadores, enviando sim um download de software malicioso.
Se os hackers conseguissem entrar na rede Wi-Fi de um utilizador, poderiam enviar instruções de controlo ao dispositivo. Os dados da Ironpie que viajam pela rede não são criptografados, o que significa que falta uma proteção de segurança fundamental para o software. Finalmente, os hackers poderiam ter acesso ao mapa que a Ironpie faz da casa de um proprietário, o que forneceria informações sobre o tamanho da casa ou quantos cómodos ela possui.
A empresa responsável pelo equipamento, depois de contactada, referiu que a empresa leva a sério a privacidade e a segurança dos dados dos utilizadores.
Internet das Coisas ligam o interior das casas ao mundo
Os problemas no Ironpie destacam uma questão mais ampla no mundo dos dispositivos conectados, que muitas vezes é chamada de Internet das Coisas. As pessoas estão a trazer mais e mais dispositivos com câmaras e microfones para as suas casas sem entender se o software que os alimenta é seguro. Isso tem levado a que dispositivos conectados, incluindo brinquedos infantis, sejam atacados e controlados.
Cada novo dispositivo conectado pode levantar aos utilizadores uma série de questões de segurança.
Explicou Erez Yalon, que contribuiu para a investigação da Checkmarx.
Os fluxos de vídeo expostos são um grande problema dos dispositivos ligados à internet. Estes são fáceis de encontrar em mecanismos de pesquisa que indexam dispositivos conectados à internet. Mesmo os fluxos que aparentemente são protegidos por palavras-passe são frequentemente inseguros porque as palavras-passe padrão, como “admin”, são fáceis de adivinhar.
Câmara envia vídeo pela internet sem estar cifrado
Além disso, os hackers também podem ter acesso aos fluxos de vídeo quando os consumidores reutilizam palavras-passe que foram expostas em violações de dados antigos. Foi isso que aconteceu com os utilizadores do sistema Ring em dezembro.
Numas imagens de demonstração, a Checkmarx mostrou os seus investigadores a ter acesso às transmissões de vídeo. A partir do seu escritório em Israel, os investigadores acederam ao fluxo de vídeo de uma Ironpie, propriedade de um colega de trabalho em Portugal.
A Trifo, anteriormente chamada PerceptIn e sediada na Califórnia, compete num mercado atualmente dominado pelos Roomba da iRobot.
Conforme refere Yalon, existe uma medida para ser feita no imediato. Isto é, os utilizadores devem desligar os robôs aspiradores da Internet. Sem acesso Wi-Fi a aplicação de gestão remota, que tem acesso às imagens, deixa de funcionar.
O investigador acusa os fabricantes de não terem o cuidado necessário para validar todas as questões de segurança nos dispositivos, que primeiro está a pressa de colocar o produto no mercado.
Temos memórias curtas e não punimos aqueles que não se importam com a segurança.
Rematou o investigador.