Você pode hackear quase qualquer dispositivo inteligente com uma pesquisa do Google

Uma simples mudança de design pode consertar a maior falha de segurança da Internet das Coisas.

Você pode hackear quase qualquer dispositivo inteligente com uma pesquisa do Google

Trinta minutos. Esse é o tempo que uma equipe de pesquisadores da Universidade Ben-Gurion, em Israel, levou para acessar câmeras de segurança, monitores de bebês, campainhas, termostatos e outros dispositivos não tão inteligentes da Internet das coisas. Não exigia nenhuma técnica especial de hacking . Qualquer um pode fazer isso.



As únicas ferramentas de que você precisa são pelo menos um dedo - um nariz também funciona - para digitar a marca e o modelo de qualquer dispositivo que você deseja hackear e um navegador da web conectado. Coloque essas informações em uma caixa de pesquisa do Google e, em alguns minutos, você encontrará um site ou uma postagem de fórum em algum lugar que descreve como entrar nesse dispositivo usando o nome de usuário e senha de administração padrão do fabricante. Qualquer pedófilo, ladrão, ex-cônjuge ou Peeping Tom comum pode usar essas informações para obter acesso a qualquer um desses dispositivos instalados em sua casa. Um governo ou organização criminosa também pode usar esses combos de usuário / senha para controlar muitos dispositivos ao mesmo tempo, a fim de explorar dados, espionar ou lançar ataques globais pela Internet.

A pesquisa foi liderada por Yossi Oren, que é responsável pelo Laboratório de Segurança de Implementação e Ataques de Canal Lateral em Cyber ​​@ BGU . Com seus colegas, ele analisou 16 dispositivos IoT populares de alta e baixa tecnologia, usando diferentes técnicas de engenharia reversa que mostram como é fácil extrair as senhas codificadas padrão de algum máquina quando você tem acesso físico a ela.



A equipe adicionou essas senhas à lista de códigos em uma versão de laboratório do Mirai –Um famoso malware de botnet criado especificamente para entrar e controlar centenas de milhares de dispositivos IoT para ataques massivos organizados. Em seguida, eles demonstraram como é fácil infectar dispositivos do mesmo modelo ao mesmo tempo.

berço de dormir ao lado da cama



A equipe também descobriu que você não precisa fazer tudo isso para hackear sozinho: os hackers em todos os lugares usam os mesmos processos assim que chegam ao mercado e, em seguida, compartilham as informações de senha publicamente. Como eles e em segundos, Oren e sua equipe tiveram acesso total a todos os recursos de hardware dos dispositivos, de modo que puderam tocar música alta em um monitor de bebê, desligar um termostato e ligar uma câmera remotamente.

[Ilustração da foto: FC]

Oren e sua equipe dão algumas recomendações se você realmente deve use estes tipos de dispositivos: Compre-os de fornecedores confiáveis ​​(há algum? Não sabemos. A equipe de pesquisa não faz recomendações e sabemos disso mesmo hardware de última geração tem brechas de segurança ), não os compre de segunda mão porque eles já podem ter malware instalado, atualize o firmware que corrige as falhas de segurança e, talvez o mais importante, mudar a senha padrão . Essa é, no final das contas, a maneira como esses pesquisadores conseguiram entrar em todos esses dispositivos.



O que nos leva a uma questão muito básica: tudo isso não poderia ser resolvido com uma simples mudança no design da experiência do usuário? Se a principal falha de segurança em milhares de milhões de dispositivos é o fato de as pessoas deixarem o usuário e a senha padrão inalterados, as empresas não poderiam força os compradores definem os seus próprios, fazendo-os criar frases secretas de 16 caracteres (ou mais) e nomes de usuário completos? Seria necessário apenas uma única tela no início do processo de configuração do dispositivo inteligente. As pessoas não acharão isso estranho. É como quando criamos um usuário e uma senha na primeira vez que ligamos um novo computador. Obviamente, alterar o usuário e a senha padrão não resolverá a arquitetura de segurança ruim, como deixar backdoors abertos para administração remota ou projeto de firewall deficiente, mas ajudará com essas violações de segurança mais básicas. É hora de as empresas tomarem esse tipo de medida, mesmo que sacrifiquem a conveniência no processo. Fora isso, nós, como consumidores, seria sensato considerar este conselho da equipe Ben-Gurion: Considere cuidadosamente os benefícios e riscos de conectar um dispositivo à Internet. Em outras palavras: não use essa porcaria até que todas essas empresas consertem.