Controlador para portões inteligentes tem graves falhas de segurança
Pesquisador recomendou que usuários desinstalem produtos da Nexx, usados em sistemas de segurança e de automação doméstica, diante de gravidade das falhas
Uma série de graves falhas de segurança levou pesquisadores a recomendarem a desinstalação de controladores da fabricante Nexx, usados em sistemas de segurança e automação doméstica. As brechas permitem que qualquer pessoa manipule os dispositivos conectados ao aplicativo da empresa, possibilitando a abertura de portas e a desativação de alarmes, entre outros dispositivos, de qualquer lugar no mundo.
- Internet of Everything | Os riscos e como devemos proteger os dispositivos
- Flipper Zero: Anatel barra dispositivo que clona radiofrequências
O problema está na forma como o aplicativo da Nexx, ligado aos controladores que são ligados a portões, termostatos, tomadas inteligentes e alarmes, entre outros, lida com dados dos usuários e autenticação. Enquanto uma senha universal fácil de se descobrir é utilizada para comunicação com os servidores e também entre os aparelhos envolvidos na automação, informações dos utilizadores são transmitidas sem criptografia e podem ser interceptadas.
São diferentes, então, as explorações possíveis. Na esfera do roubo de dados, seria possível obter endereços de e-mail, IDs de dispositivos e o primeiro nome, juntamente com a inicial do sobrenome, diretamente no fluxo de dados trocados entre os dispositivos e a rede. A partir do correio eletrônico, tenha sido ele conseguido desta maneira ou de outra forma, também dá para gerar ataques de maior gravidade.
De acordo com o pesquisador Sam Sabetan, responsável pela descoberta, basta que um atacante tenha o e-mail, ID de um aparelho ou o nome do usuário para enviar comandos a um controlador. Na outra ponta, cerca de 40 mil dispositivos estariam vulneráveis a explorações desse tipo, bem como aproximadamente 20 mil pessoas cadastradas nos sistemas da Nexx.
Para piorar as coisas, Sabetan aponta que a empresa nem mesmo respondeu ao relatório de falhas durante os 90 dias de divulgação responsável. A pesquisa teria sido feita juntamente com o Departamento de Segurança Nacional do governo dos Estados Unidos, com a fabricante também não atendendo aos pedidos oficiais de esclarecimento e desenvolvimento de uma correção.
Com isso, a recomendação de ambos é a desinstalação de dispositivos da Nexx até que o problema seja resolvido, uma vez que basta pouco conhecimento técnico para que a brecha seja explorada por terceiros. A fabricante também não se pronunciou publicamente sobre o caso, agora que a prova de conceito foi publicada.
Fonte: Sam Sabetan (Medium)
Trending no Canaltech:
- 5 motivos para NÃO comprar a Nova Chevrolet Montana
- Imposto de Renda 2023: veja quando começa a restituição
- Quais celulares Samsung vão receber funções de câmera do Galaxy S23?
- PS5 Q-Lite: console portátil da Sony ganha supostos preço e data de lançamento
- Crítica Fome de Sucesso | Filme traz boa análise social ainda que com erros
- 7 piadas que envelheceram mal em Friends