Seus sistemas Philips Hue e Nest podem estar sujeitos a ataques
Quando falamos de segurança – e queremos dizer a segurança cibernética de nossas casas – a maioria de nós imagina hackers de nível de filme de Bond em quartos escuros, explorando habilmente nossas câmeras, alarmes e fechaduras.
Mas, à medida que os dispositivos inteligentes se enredam em ecossistemas digitais – Nest, Google Assistant e Alexa, para citar apenas alguns – até mesmo um elo fraco pode deixar todos os dispositivos abertos para ataques. E uma nova pesquisa mostra que são nossas lâmpadas inteligentes e cafeteiras conectadas que podem estar deixando nossas casas em risco.
Grande veredicto: revisão de Philips Hue
Uma equipe de cientistas da computação do College of William & Mary testou a segurança de vários produtos domésticos inteligentes atualmente no mercado e encontrou vulnerabilidades significativas que podem significar que as empresas de tecnologia precisam repensar a maneira como seus dispositivos interagem.
A equipe analisou um ataque chamado "escalada de privilégio lateral", que compromete um dispositivo ou aplicativo de baixo risco para obter acesso a um dispositivo de alto risco, como uma câmera de segurança. Os resultados revelam falhas, não necessariamente nos próprios dispositivos, mas em a arquitetura de plataformas que servem como hub central da casa inteligente.
E embora muitas vezes essas vulnerabilidades sejam encontradas em dispositivos sem nome pertencentes a um punhado de pessoas, a equipe de pesquisa encontrou problemas que exigem melhorias nos produtos Philips Hue e Nest durante sua avaliação.
“É um problema de software que se espalha pelo ambiente físico e não é algo que você possa consertar imediatamente", disse o autor do estudo Adwait Nadkarni, professor assistente de ciência da computação na William & Mary. “Se você não proteger esses dispositivos de baixa segurança, até mesmo a comunicação indireta entre esses dois dispositivos pode colocar sua casa inteligente em risco.”
Nadkarni e seus colegas usaram uma configuração de casa inteligente simulada, na qual conectaram vários dispositivos a uma plataforma de casa inteligente e viram até onde os ataques poderiam ir. Com mais de 20 bilhões de produtos domésticos inteligentes projetados para uso até 2020, seu trabalho tem implicações de longo alcance para a segurança física dos usuários. O estudo foi aceito na Conferência da Association for Computing Machinery (ACM) sobre segurança e privacidade de dados e aplicativos e será apresentado em março de 2019.
Infiltrando suas rotinas
A automação residencial é impulsionada pela implementação de rotinas, que são sequências de ações de aplicativos e dispositivos executadas em um ou mais gatilhos. Por exemplo, ao ligar o sistema de alarme antes de sair de casa, você pode programar seu termostato inteligente para desligar automaticamente para economizar eletricidade. Plataformas domésticas inteligentes, como Google Works with Nest, Samsung SmartThings e Philips Hue, acompanham todos os dispositivos conectados e seus estados por meio de variáveis em um armazenamento de dados centralizado.
“Um sensor de presença indicará se um usuário está em casa e ajustará essa variável no armazenamento de dados centralizado de acordo”, disse Nadkarni. “Então, o restante dos dispositivos reagirá da maneira que você quiser quando estiver em casa – as luzes acendem, o termostato aumenta etc. – mas, em alguns casos, essas variáveis podem ser exploradas.”
Por exemplo, os hackers podem comprometer um dispositivo de baixa segurança como suas luzes, que por acaso têm acesso à variável de presença. Se eles mudarem seu estado para informar falsamente à plataforma que você está em casa quando na verdade está a quilômetros de distância de férias, os invasores podem alterar as ações de dispositivos de alta segurança, como câmeras e fechaduras.
Os pesquisadores descobriram que as rotinas suportadas pelo Nest permitem que dispositivos e aplicativos de baixa segurança modifiquem indiretamente o estado de dispositivos de alta segurança, modificando as variáveis compartilhadas nas quais ambos dependem. Eles conseguiram realizar um escalonamento lateral de privilégios comprometendo o aplicativo Kasa, alterando indiretamente o estado de uma variável, que desligou a câmera de segurança Nest.
“Se as coisas continuarem como estão, o número de problemas de segurança aumentará exponencialmente à medida que as pessoas adicionarem mais dispositivos às suas casas inteligentes”, disse o autor do estudo Denys Poshyvanyk, professor associado de ciência da computação na William & Mary. “No entanto, se alguns esforços sistemáticos forem feitos para redesenhar essas plataformas com segurança em mente, esses ataques podem ser evitados – mas isso exigiria a adoção de alguns padrões comuns por essas empresas.”
Várias das empresas mencionadas no estudo, incluindo Google e Philips, confirmaram a Nadkarni e Poshyvanyk que seus engenheiros estão analisando esses problemas de segurança. Joshua Meyer, analista de segurança associado da empresa de consultoria Independent Security Evaluators, que não participou do estudo, acredita que os fabricantes devem considerar a segurança desde os primeiros estágios de design de um produto ou plataforma. Mas ele também reconhece que aplicativos de terceiros podem apresentar riscos de segurança inesperados à rede.
“Cada aplicativo ou dispositivo que eles não controlam pode introduzir riscos de segurança na rede. O reino da casa inteligente é problemático a esse respeito, pois espera-se que vários dispositivos de vários fabricantes funcionem cooperativamente”, disse Meyer.
“Plataformas domésticas inteligentes devem antecipar a insegurança inerente de alguns dispositivos e fornecer fortes controles de segurança para os outros dispositivos em uma rede.”
Claro, as empresas de tecnologia estão lutando em todas as frentes para proteger os dispositivos domésticos inteligentes. Embora o acesso ilegal a dispositivos seja uma questão, a escravização de dispositivos como parte de botnets é outra – e uma ameaça bem documentada para os próximos anos. Isso mostra que, como concluiu Mayer, é crucial que os responsáveis pelos ecossistemas que funcionam em nossas casas estejam tão focados na segurança quanto nos novos recursos.