Kaspersky Lab descobre hub de smart home vulnerável a ataques remotos

O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detectadas.
Kaspersky Lab Hub
Kaspersky Lab

Os investigadores da Kaspersky Lab investigaram as vulnerabilidades num smart hub utilizado para gerir todos os módulos e sensores conectados instalados numa casa.

As conclusões revelaram que é possível que um hacker aceda remotamente ao servidor de um produto e descarregue um arquivo com os dados pessoais dos utilizadores, aceda às suas contas e obtenha o controlo dos sistemas domésticos.

Os “hubs” destas smart homes servem para simplificar a gestão da casa, combinando todas as configurações dos dispositivos num único lugar e permitindo aos utilizadores controlar as acções através de interfaces Web ou de aplicações móveis. Ao mesmo tempo, esta função “unificadora” é especialmente útil para os hackers, uma vez que estes podem utilizá-la como ponto de entrada para levar a cabo ataques remotamente.

No início do ano passado, a Kaspersky Lab analisou um dispositivo inteligente para a casa que acabou por se converter numa porta aberta para ataques de terceiros através de algoritmos de geração de palavras-passe e de pontos abertos. Durante a nova investigação, os investigadores descobriram que um design inseguro e várias vulnerabilidades na arquitectura do dispositivo inteligente poderiam proporcionar o acesso dos hackers às casas dos utilizadores.

A primeira coisa que os investigadores observaram foi que o hub envia informações ao se conectar com um servidor, incluindo as credenciais necessárias para iniciar a sessão no interface Web do smart hub – a identificação do utilizador e a palavra-passe.

Além disso, outros dados pessoais, como o número de telefone do utilizador, necessário para receber alertas, poderá estar também incluindo. Os hackers podem, então, descarregar o arquivo com a informação enviando simplesmente um pedido legítimo ao servidor onde incluem o número de série do dispositivo. A análise demonstra também que o número de série pode ser facilmente obtido.

Segundo os especialistas, os números de série podem ser obtidos à “força” mediante a análise lógica, sendo posteriormente confirmados através de um pedido ao servidor.

Se um dispositivo com esse número de série é registado num sistema na cloud, os hackers recebem uma confirmação. A partir daí, podem entrar na conta online do utilizador e gerir a configuração dos sensores e controladores conectados ao hub da smart home.

O fabricante já foi notificado de toda a informação sobre as vulnerabilidades detectadas, e está a proceder à sua reparação.

Via Kaspersky Lab.

Categorias
NotíciasSegurança

Terra. Europa. Portugal. Lisboa. Elite: Dangerous. Blade Runner. Star Trek. Star Wars. Kraftwerk. Project Pitchfork. Joe Hisaishi. Studio Ghibli.
Assinaturas

ARTIGOS RELACIONADOS

Newsletter PCGuia
Subscreva a newsletter da PCGuia para ficar a par das últimas notícias, dicas e análises de hardware e software.
Subscrever
close-link