A IoT Security Foundation, uma organização voltada para a segurança da internet das coisas, resolveu fazer uma pesquisa para descobrir de que modo as empresas que fabricam dispositivos para consumidores finais tratam a descoberta de vulnerabilidades. A principal conclusão é que 90,3% dessas empresas não oferece qualquer meio, protocolo ou método para o recebimento de informações sobre esse assunto. Em outras palavras, não há interesse no assunto.
A pesquisa foi feita em agosto de 2018 e a principal pergunta é “com que amplitude é praticada a revelação de vulnerabilidades (vulnerability disclosure) no domínio dos produtos de internet das coisas para consumidores”. Outra pergunta importante foi sobre a existência de um canal para a comunicação de vulnerabilidades localizadas nos produtos pelos pesquisadores de segurança.
A pesquisa foi feita com 331 empresas. Isso significa se apenas 32 desse total tem algum programa para o recebimento das informações sobre vulnerabilidades. Dessas 32, quase metade ficam na América do Norte e 15 delas patrocinam algum programa de recompensas para os pesquisadores que localizam vulnerabilidades (programas de bug bounty).
A pesquisa se chama “Entendendo o Uso Atual da Revelação de Vulnerabilidades em Empresas de Produtos de Internet das Coisas para Consumo”. E os produtos, neste caso, são aqueles que se pode comprar em lojas de departamentos e até supermercados como, por exemplo, babás eletrônicas, câmeras de vídeo, fechaduras acionáveis pela internet e controles remotos para a casa, além de roteadores, é claro.
Os pesquisadores de segurança encontram muitas dificuldades no contato com essas empresas ao descobrirem alguma falha em seus produtos. A empresa Hidrate, por exemplo, fabrica uma garrafa que avisa quando está na hora de você beber água. Em seu website, ela informa que não permite a ninguém pesquisar falhas de segurança em seus produtos. No caso da ZTE, a página para comunicação de vulnerabilidade gerava uma mensagem de erro (404) quando foi visitada pelos pesquisadores em setembro deste ano.
A conclusão geral da pesquisa é de que 90% das empresas não têm um mecanismo para o recebimento da revelação de vulnerabilidades enquanto que em outras áreas das empresas de informática isso é muito diferente e as taxas são muito mais elevadas. Na minha opinião, a indústria de IoT de consumo não tem interesse neste momento de investir nem no recebimento das informações (para não prejudicar a imagem dos seus produtos) nem num programa de revelação de vulnerabilidades (provavelmente porque a margem de lucro nos seus produtos é baixa demais para patrocinar um bom bug bounty).