Quem Diria? Até Mesmo as Lâmpadas Inteligentes Podem Deixar Vazar as Suas Senhas
Muitos anos atrás, as pessoas pensavam que poderíamos ter carros voadores hoje em dia. Eles eram um pouquinho otimistas demais nas suas previsões, mas apesar disto, nós encontramos outras maneiras de tornar as nossas vidas um pouco mais fáceis. Por exemplo, alguns de nós estão agora livres da incômoda tarefa de ter que apertar o interruptor para ligar a lâmpada quando estiver escuro. Temos agora a lâmpada "inteligente", e podemos dizer a elas para se ligarem automaticamente. Também podemos ligá-las através dos nossos smartphones, sem sequer levantar do sofá.
De certo modo, pessoas diferentes têm (e continuarão tendo) opiniões diferentes a respeito das lâmpadas inteligentes. Alguns pensam que são uma invenção genuinamente inteligente que adiciona qualidade às nossas vidas. Outros reconhecem que são tão úteis quanto um espremedor estupidamente caro que não faz nada de especial e é conectado à Internet por razões que não podem ser justificadas de nenhuma maneira.
Há algumas coisas que todos nós podemos concordar. Primeiro, a popularidade das lâmpadas inteligentes está crescendo, e na mania da Internet Das Coisas que todo mundo parece obcecado no momento, provavelmente continuará a crescer. A segunda coisa que todos nós podemos concordar é o fato de que qualquer dispositivo (seja um laptop, uma torradeira, ou de fato, uma lâmpada) que esteja conectado à Internet deve ser protegido contra qualquer forma de ataque. E a dolorosa verdade sobre as lâmpadas inteligentes é que elas simplesmente não são muito seguras.
Os pesquisadores abriram buracos na segurança das lâmpadas inteligentes
O Limited Results é um blog de segurança de hardware que tem existido por apenas alguns meses, mas a pessoa por trás dele já conseguiu testar várias lâmpadas inteligentes diferentes conectadas à Internet. Os resultados estão longe de serem encorajadores.
Os dispositivos são vendidos por inúmeros fabricantes diferentes, incluindo Xiaomi e LIFX e eram compradas por qualquer valor entre €15 e €30 (R$65 e R$130). Uma das lâmpadas foi comprada online e não tinha um certificado CE. De acordo com o pesquisador, decisões estranhas no design e materiais baratos tornaram-na um sério perigo que não deveria ser posto em nenhum local perto da eletricidade. Esse não era o assunto do experimento.
Como você provavelmente já sabe, a configuração típica da lâmpada inteligente envolve baixar um aplicativo no seu smartphone, estabelecendo uma conexão entre o aparelho e a lâmpada, e então dizendo em qual rede sem-fio ele deve se conectar. A lâmpada armazena o SSID e a senha do seu wi-fi e permanece sempre conectada à rede da casa, significando que poderá receber comandos do aplicativo do seu telefone. Os pesquisadores queriam descobrir quais tipos de dados a lâmpada armazena e como.
Os dispositivos foram abertos, e seus módulos de wi-fi recuperados. Após conectá-los a um computador, A Limited Results descobriu que todas as lâmpadas armazenavam as credenciais dos wi-fi em texto puro.
Outras falhas também foram encontradas, incluindo chaves de criptografia salvas que permitiriam a descriptografia do tráfego da rede sem-fio. No caso de uma lâmpada produzida pela Lyasi, a Limited Results conseguiu remontar o dispositivo e controlá-lo remotamente sem um aplicativo de autenticação.
Essa não é exatamente uma descoberta chocante
Os experimentos da Limited Results revelam falhas que, reconhecidamente, não deveriam apresentar problemas para tantos dos usuários regulares que compram esses dispositivos. No mundo real, esse tipo de ataque depende do hacker roubar a lâmpada ou recupera-la do lixo da vítima, o que não faz parte do modelo de ameaças para a maioria das pessoas. Isso, no entanto, não significa que a pesquisa não tem o seu valor.
Desde que os dispositivos inteligentes começaram a se tornar moda, os especialistas têm tentado aumentar a conscientização sobre a falta da implementação dos métodos mais simples dos mecanismos de segurança. O negócio está crescendo em uma proporção explosiva, e os fabricantes estão com pressa para lançar os mais novos produtos com as melhores características no menor preço possível. A segurança está ficando em segundo lugar, e os hackers estão tirando vantagem do número crescente de dispositivos lamentavelmente inseguros que estão inundando a Internet. Embora houvesse um ou dois ataques razoavelmente perturbadores que envolveram os dispositivos da Internet das Coisas, os usuários não parecem estar particularmente preocupados. Mesmo assim, eles têm todo o direito de saber os riscos e decidir por eles mesmos se estão prontos para aceitar isso.
