Tim Berghoff (*)

As mais recentes análises de vulnerabilidade na Internet das Coisas sinalizam que mais de dois milhões de dispositivos IoT são afetados por algum tipo de vulnerabilidade atual, permitindo que invasores controlem webcams e outros dispositivos afetados. No entanto, no momento não existe uma correção efetiva que possa ser vista pelas empresas.

O que aconteceu?

Existem duas falhas de segurança no iLnkP2P, uma das várias soluções P2P utilizadas pelos fabricantes de dispositivos, entre elas Shenzen Yunni Technologies. Uma delas permite que um invasor se conecte a um dispositivo arbitrário e o outro coloca os usuários não autorizados em condições de roubar dados de acesso ao dispositivo e assumir o controle total. Isso é um grande problema, especialmente se uma webcam afetada for colocada em uma área como o quarto de uma criança ou seu quarto.

Muitos dispositivos inteligentes fazem uso de componentes “prontos para uso” e parte deles é uma tecnologia de comunicação peer-to-peer (P2P), que garante uma comunicação entre os dispositivos. A terceirização de componentes de fornecedores externos é uma prática comum em muitos setores da indústria. Por exemplo, os fabricantes de carros geralmente compram determinados grupos de componentes, como chicotes elétricos de fornecedores externos. Como consequência, quaisquer problemas com um componente de um determinado fornecedor afetam vários outros da cadeia. Entre os afetados pelas falhas de segurança estão nomes como VStarcam, Eye Sight e HiChip. Listar todos os fornecedores afetados seria muito difícil, como fez Paul Marrapese, que descobriu as falhas de segurança e comentou em um artigo em seu blog.

A maneira como esse incidente foi tratado pelo fornecedor não é aceitável. Recusar-se a comunicar sobre questões como estas com os pesquisadores envia um sinal que não é apenas prejudicial para a própria empresa, mas também para os clientes para quem fornecem soluções. Muitas coisas poderiam ter sido – e deveriam ter – tratadas de maneira diferente neste caso. Incidentes como este têm a capacidade de minar completamente a confiança dos usuários tanto em tecnologias quanto em fornecedores.

Sem resposta

Neste ponto, uma correção não está sendo apresentada e é improvável que haja uma em breve, dado que o fornecedor do iLnkP2P não reagiu a várias tentativas de entrar em contato com eles. O pesquisador Paul Marrapese tornou as vulnerabilidades públicas depois de três meses de tentativas.

Mitigação e contramedidas

Existe uma maneira de se descobrir se um dispositivo é afetado pelos problemas descritos aqui. Em um adesivo, geralmente localizado na parte inferior ou traseira de um dispositivo, você encontrará uma identificação UID. Com base nos primeiros três a cinco caracteres, é possível verificar se o dispositivo é suscetível a ataques usando essa vulnerabilidade.

Existem poucas estratégias eficazes de mitigação. Uma delas consiste em bloquear certos tipos de tráfego (UDP na porta 32100) usando um firewall. A medida mais eficaz é substituir um dispositivo afetado por um de um fornecedor respeitável.

(*) Especialista em Segurança Digital da G Data.