belkin (Reprodução)
Da Redação
Publicado em 19 de fevereiro de 2014 às 08h51.
Pesquisadores da empresa de segurança IOActive divulgaram nesta terça-feira um alerta sobre vulnerabilidades em sistemas de automação residencial da Belkin. As várias brechas, de acordo com a companhia, foram encontradas em dispositivos da linha WeMo, e permitem que invasores consigam controlar remotamente a iluminação e o termostato da casa, por exemplo, e até mesmo acessar a rede LAN do local.
Os produtos da linha tornam possível usar smartphones, tablets ou uma interface web para ligar, desligar, regular e mover diferentes aparelhos na residência, tudo à distância. Parece ótimo, mas esses mesmos dispositivos não são tão inteligentes quanto parecem: de acordo com a publicação da IOActive, eles simplesmente deixam expostas senhas e chaves de criptografia usadas para checar a legitimidade de updates de firmware.
Com a ajuda desse vazamento, invasores conseguem quebrar tranquilamente o sistema de segurança e enviar atualizações maliciosas aos produtos WeMo. Curiosamente, nem mesmo o uso de um firewall resolve o problema, já que os updates foram feitos para, basicamente, passar por cima dessas proteções. Depois que as novas versões são instaladas, os dispositivos podem passar a agir sob o controle dos crackers que, se forem simplesmente bem-humorados, serão capazes de fazer a luz funcionar como a de uma casa mal-assombrada, por exemplo. Veja um exemplo no vídeo a seguir.
//www.youtube.com/embed/BcW2q0aHOFo
As consequências, no entanto, podem ser bem piores. Como alerta a própria IOActive, há sempre a possibilidade de se causar um curto-circuito e, posteriormente, até mesmo um incêndio doméstico e tudo remotamente. E como há, nas estimativas da companhia de segurança, cerca de 500 mil dispositivos WeMo espalhados pelo mundo, dá para imaginar o estrago que a vulnerabilidade pode provocar se for aproveitada.
Problemas na automação As brechas de segurança nos dispositivos da linha da Belkin mostram que os sistemas de automação residencial ainda precisam de algum cuidado. Mais ainda nos holofotes graças à recente aquisição da Nest pelo Google, eles são tidos como parte essencial da casa do futuro mas antes disso, questões básicas de proteção, como o cuidado com chaves de criptografia, não podem mais ser deixadas de lado.
A IOActive entregou ao CERT norte-americano as informações relacionadas às vulnerabilidades, e o próprio órgão emitiu um alerta para que usuários deixassem de lado os produtos da linha problemática, ao menos por ora. A Belkin ainda não se manifestou em relação ao caso, e também não liberou uma correção para a falha.
Aliás, curiosamente, essa é a segunda questão de segurança envolvendo a empresa em menos de uma semana. Na última sexta-feira, roteadores da Linksys (que pertece à Belkin, e não mais à Cisco) se mostraram vulneráveis a um malware "auto-replicável".
Atualização (19/02, 11h45) A Belkin enviou um posicionamento à imprensa afirmando já ter corrigido as vulnerabilidades encontradas pela IOActive e avisado os usuários. A empresa recomenda que todos os donos de dispositivos da linha WeMo atualizem os aparelhos para a última versão do firmware e também baixem as edições mais recentes dos apps para Android e iOS. Confira abaixo o comunicado na íntegra:
A Belkin informa que corrigiu a lista de cinco potenciais vulnerabilidades que afetam a linha WeMo de soluções de automação, publicada por uma consultoria, no dia 18 de fevereiro. A Belkin teve contato com os pesquisadores de segurança anteriormente à publicação e, em 18 de fevereiro, já tinha resoluções para cada uma das vulnerabilidades potenciais via notificações in-app e atualizações. Os usuários com o firmware divulgado mais recentemente (versão 3949) não correm riscos de ataques maliciosos de firmwares ou do monitoramento ou controle remoto dos seus dispositivos WeMo por dispositivos não autorizados. A Belkin ressalta a importância dos usuários fazerem o download da última versão do app o mais rápido possível, na App Store (versão 1.4.1) ou Google Play Store (versão 1.2.1), e depois atualizarem a versão do firmware por meio do aplicativo.
As correções específicas emitidas pela Belkin incluem:
1) Uma atualização para o servidor WeMo API em 5 de novembro de 2013, que impede o acesso a outros dispositivos WeMo via ataques de XML injection.
2) Uma atualização para o firmware WeMo, publicado em 24 de janeiro de 2014, que adiciona criptografia e validação SSL para o feed de distribuição do WeMo firmware, elimina o armazenamento da chave de assinatura no dispositivo e possui senha que protege a interface de porta serial para prevenir ataques maliciosos via firmware.
3) Uma atualização para o app WeMo para iOS (publicado em 24 de janeiro de 2014) e Android (publicado em 10 de fevereiro de 2014) que contém a atualização de firmware mais recente.