Brecha deixa invasores controlarem sistema de automação residencial

Pesquisadores da empresa de segurança IOActive divulgaram nesta terça-feira um alerta sobre vulnerabilidades em sistemas de automação residencial da Belkin. As várias brechas, de acordo com a companhia, foram encontradas em dispositivos da linha WeMo, e permitem que invasores consigam controlar remotamente a iluminação e o termostato da casa, por exemplo, e até mesmo acessar a rede LAN do local.

Os produtos da linha tornam possível usar smartphones, tablets ou uma interface web para ligar, desligar, regular e mover diferentes aparelhos na residência, tudo à distância. Parece ótimo, mas esses mesmos dispositivos não são tão inteligentes quanto parecem: de acordo com a publicação da IOActive, eles simplesmente deixam expostas senhas e chaves de criptografia usadas para checar a legitimidade de updates de firmware.

Com a ajuda desse “vazamento”, invasores conseguem quebrar tranquilamente o sistema de segurança e enviar atualizações maliciosas aos produtos WeMo. Curiosamente, nem mesmo o uso de um firewall resolve o problema, já que os updates foram feitos para, basicamente, passar por cima dessas proteções. Depois que as “novas versões” são instaladas, os dispositivos podem passar a agir sob o controle dos crackers – que, se forem simplesmente bem-humorados, serão capazes de fazer a luz funcionar como a de uma casa mal-assombrada, por exemplo. Veja um exemplo no vídeo a seguir.

//www.youtube.com/embed/BcW2q0aHOFo

As consequências, no entanto, podem ser bem piores. Como alerta a própria IOActive, há sempre a possibilidade de se causar um curto-circuito e, posteriormente, até mesmo um incêndio doméstico – e tudo remotamente. E como há, nas estimativas da companhia de segurança, cerca de 500 mil dispositivos WeMo espalhados pelo mundo, dá para imaginar o estrago que a vulnerabilidade pode provocar se for aproveitada.

Problemas na automação – As brechas de segurança nos dispositivos da linha da Belkin mostram que os sistemas de automação residencial ainda precisam de algum cuidado. Mais ainda nos holofotes graças à recente aquisição da Nest pelo Google, eles são tidos como parte essencial da “casa do futuro” – mas antes disso, questões básicas de proteção, como o cuidado com chaves de criptografia, não podem mais ser deixadas de lado.

A IOActive entregou ao CERT norte-americano as informações relacionadas às vulnerabilidades, e o próprio órgão emitiu um alerta para que usuários deixassem de lado os produtos da linha problemática, ao menos por ora. A Belkin ainda não se manifestou em relação ao caso, e também não liberou uma correção para a falha.

Aliás, curiosamente, essa é a segunda questão de segurança envolvendo a empresa em menos de uma semana. Na última sexta-feira, roteadores da Linksys (que pertece à Belkin, e não mais à Cisco) se mostraram vulneráveis a um malware "auto-replicável".

Atualização (19/02, 11h45) – A Belkin enviou um posicionamento à imprensa afirmando já ter corrigido as vulnerabilidades encontradas pela IOActive e avisado os usuários. A empresa recomenda que todos os donos de dispositivos da linha WeMo atualizem os aparelhos para a última versão do firmware e também baixem as edições mais recentes dos apps para Android e iOS. Confira abaixo o comunicado na íntegra:

A Belkin informa que corrigiu a lista de cinco potenciais vulnerabilidades que afetam a linha WeMo de soluções de automação, publicada por uma consultoria, no dia 18 de fevereiro. A Belkin teve contato com os pesquisadores de segurança anteriormente à publicação e, em 18 de fevereiro, já tinha resoluções para cada uma das vulnerabilidades potenciais via notificações in-app e atualizações. Os usuários com o firmware divulgado mais recentemente (versão 3949) não correm riscos de ataques maliciosos de firmwares ou do monitoramento ou controle remoto dos seus dispositivos WeMo por dispositivos não autorizados. A Belkin ressalta a importância dos usuários fazerem o download da última versão do app o mais rápido possível, na App Store (versão 1.4.1) ou Google Play Store (versão 1.2.1), e depois atualizarem a versão do firmware por meio do aplicativo.

As correções específicas emitidas pela Belkin incluem:

1) Uma atualização para o servidor WeMo API em 5 de novembro de 2013, que impede o acesso a outros dispositivos WeMo via ataques de XML injection.

2) Uma atualização para o firmware WeMo, publicado em 24 de janeiro de 2014, que adiciona criptografia e validação SSL para o feed de distribuição do WeMo firmware, elimina o armazenamento da chave de assinatura no dispositivo e possui senha que protege a interface de porta serial para prevenir ataques maliciosos via firmware.

3) Uma atualização para o app WeMo para iOS (publicado em 24 de janeiro de 2014) e Android (publicado em 10 de fevereiro de 2014) que contém a atualização de firmware mais recente.