Os investigadores da Kaspersky Lab investigaram as vulnerabilidades num smart hub utilizado para gerir todos os módulos e sensores conectados instalados numa casa.
As conclusões revelaram que é possível que um hacker aceda remotamente ao servidor de um produto e descarregue um arquivo com os dados pessoais dos utilizadores, aceda às suas contas e obtenha o controlo dos sistemas domésticos.
Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as acções através de interfaces Web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.
No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitectura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.
A primeira coisa que os investigadores observaram foi que o hub envia informações ao se conectar com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface Web do smart hub – a identificação do utilizador e a palavra-passe.
Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido.
Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor.
Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.
O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detectadas, e está a proceder à sua reparação.
Via Kaspersky Lab.
