O uso descontrolado de dispositivos domésticos de Internet das Coisas (IoT) vai colocar muitas casas em perigo. Essa constatação está numa pesquisa de três estudantes de mestrado – dois deles da Universidade Federal de Pernambuco – sobre a segurança desses dispositivos, mostrando que a maioria tem falhas, começando até em seus aplicativos. Entre as falhas descobertas:
- a comunicação entre o app e o dispositivo não é apropriadamente autenticada nem protegida
- foi possível criar exploits para cinco dispositivos muito vendidos na Amazon
- um conjunto de 32 apps controla 96 diferentes dispositivos
- 50% dos apps não usa criptografia na comunicação
O trabalho foi feito na Universidade de Illinois (campus de Urbana e Champaign) pelos estudantes brasileiros Davino Mauro Junior e Luís Melo, e pelo chinês Harvey Lu, da Universidade de Michigan, com orientação dos professores Marcelo d’Amorim (UFPE) e Atul Prakash (Michigan). Como prova de conceito, os pesquisadores chegaram a desenvolver ataques para os aplicativos de controle residencial Kasa, da TP-Link, de luz inteligente da LIFX, de tomadas inteligentes WeMo, da Belkin, e para o e-Control, da Broadlink, que controla uma casa inteira.
Numa entrevista ao Ciso Advisor, Luís contou que o trabalho foi desenvolvido dentro de um projeto chamado “IoT Flows” (Fluxos no IoT) no primeiro trimestre de 2018, durante uma etapa do seu mestrado cumprida em Urbana.
“No projeto, estudamos o fluxo de dados entre dispositivos de IoT na rede. Só para ver o que um dispositivo manda para o outro, e como uma pessoa poderia roubar ou modificar as informações, ou mandar essas informações erradas ou incorretas a partir de um dispositivo qualquer”, explicou Melo. Formado em Ciência da Computação pela Universidade Católica de Pernambuco, Melo conta que a equipe de pesquisas ficou chocada com os resultados: “Foi um choque porque, diferente do Brasil, lá nos EUA os dispositivos são comercializados pelo BestBuy, Amazon e Walmart, por exemplo. São artigos de prateleira, e as pessoas não têm conhecimento das falhas, comprando dispositivos que na verdade são muito vulneráveis”, acrescentou.
Segundo Luís Melo, o número de dispositivos domésticos disponível no Brasil é muito menor: “Aqui no Brasil a gente já encontra muito ar-condicionado com controle via web e app, que já é considerado dispositivo de IoT, mas ainda não consegui testar nenhum. Mas eu apostaria que existe vulnerabilidade neles”. Melo acredita que também haja muitas vulnerabilidades em dispositivos conectados por meio de Bluetooth ou WiFi, como as lâmpadas com controle remoto: “Acredito que é possível que se consiga acesso sem nenhum grande esforço técnico de engenharia reversa. Pode-se conseguir isso com um simples controle remoto genérico”.
O instituto Gartner calcula que neste ano (2019) a IoT já tem 14,5 bilhões de dispositivos conectados, e que em 2021 esse número vai alcançar 25 bilhões. Para a Internet das Coisas industrial muito esforço já está sendo feito pelos fornecedores de soluções de segurança, mas para a IoT doméstica isso permanece um problema – entre outras coisas por causa do custo de implantar soluções às vezes caras em dispositivos que precisam ser baratos para vender muito.
A pesquisa está disponível em
https://arxiv.org/pdf/1901.10062.pdf
