IoT: 2 milhões de dispositivos já foram afetados

Recentemente, o WhatsApp divulgou  recomendações a usuários para que atualizem o aplicativo em seus smartphones. O motivo da orientação diz respeito a uma falha na segurança que teria permitido o acesso de hackers e a instalação de pequenos programas maliciosos (spywares) para coletar informações dos usuários. As mais recentes análises de vulnerabilidade na Internet das Coisas (IoT, na sigla em inglês) sinalizam que mais de dois milhões de dispositivos IoT são afetados por algum tipo de vulnerabilidade atual, permitindo que invasores controlem webcams e outros dispositivos afetados. No entanto, no momento não existe uma correção efetiva que possa ser vista pelas empresas. O que aconteceu?

Existem duas falhas de segurança no iLnkP2P, uma das várias soluções P2P utilizadas pelos fabricantes de dispositivos, entre elas Shenzen Yunni Technologies. Uma delas permite que um invasor se conecte a um dispositivo arbitrário e o outro coloca os usuários não autorizados em condições de roubar dados de acesso ao dispositivo e assumir o controle total. Isso é um grande problema, especialmente se uma webcam afetada for colocada em uma área como o quarto de uma criança ou seu quarto.

Muitos dispositivos inteligentes fazem uso de componentes "prontos para uso" e parte deles é uma tecnologia de comunicação peer-to-peer (P2P), que garante uma comunicação entre os dispositivos. A terceirização de componentes de fornecedores externos é uma prática comum em muitos setores da indústria. Por exemplo, os fabricantes de carros geralmente compram determinados grupos de componentes, como chicotes elétricos de fornecedores externos. Como consequência, quaisquer problemas com um componente de um determinado fornecedor afetam vários outros da cadeia. Entre os afetados pelas falhas de segurança estão nomes como VStarcam, Eye Sight e HiChip. Listar todos os fornecedores afetados seria muito difícil, como fez o pesquisador Paul Marrapese, que descobriu as falhas de segurança e comentou em um artigo em seu blog.

A maneira como esse incidente foi tratado pelo fornecedor não é aceitável. Recusar-se a comunicar sobre questões como estas com os pesquisadores envia um sinal que não é apenas prejudicial para a própria empresa, mas também para os clientes para quem fornecem soluções. Muitas coisas poderiam ter sido – e deveriam ser – tratadas de maneira diferente neste caso. Incidentes como este têm a capacidade de minar completamente a confiança dos usuários tanto em tecnologias quanto em fornecedores. Neste ponto, uma correção não está sendo apresentada e é improvável que haja uma em breve, dado que o fornecedor do iLnkP2P não reagiu a várias tentativas de entrar em contato com eles. Marrapese tornou as vulnerabilidades públicas depois de três meses de tentativas.

Há uma maneira de se descobrir se um dispositivo é afetado pelos problemas descritos aqui. Em um adesivo, geralmente localizado na parte inferior ou traseira de um dispositivo, você encontrará uma identificação UID. Com base nos primeiros três a cinco caracteres, é possível verificar se o dispositivo é suscetível a ataques usando essa vulnerabilidade. Uma lista com UIDs afetados conhecidos pode ser encontrada aqui.

Existem poucas estratégias eficazes de mitigação. Uma delas consiste em bloquear certos tipos de tráfego (UDP na porta 32100) usando um firewall. A medida mais eficaz é substituir um dispositivo afetado por um de um fornecedor respeitável.

*Especialista em Segurança Digital da G Data, fornecedora de soluções antivírus distribuídas no Brasil pela FirstSecurity.