O que podemos esperar de um cenário em que o volume de dispositivos conectados só cresce à medida que mais aparelhos IoT (Internet of Things) chegam às lojas? Speakers inteligentes, fechaduras digitais, smart TVs, câmeras e outros eletrônicos com acesso à Internet estão, aos poucos, chegando às casas dos brasileiros. O crescente interesse por eles traz também a preocupação sobre o quão seguros são os seus sistemas de acesso.

Em 2018, já foram detectados pela Kaspersky Lab, mais de 30 mil dispositivos IoT infectados na América Latina. Sendo 72% deles no Brasil, 13% no México e 4% na Argentina. O Brasil recebe, ao todo, 23% dos ataques globais destinados à internet das coisas e, em todos os casos, faz-se o abuso de um recurso óbvio: o acesso remoto.

IoT Brasil Infectados

“O que podemos esperar é que quanto mais tivermos aparelhos IoT, mais teremos incidentes criminosos. No mapa de dispositivos infectados, o Brasil já está em vermelho [junto com a China]”, apontou Thiago Marques pesquisador de segurança da Kaspersky Lab, durante a 8ª Conferência de Analistas de Segurança para a América Latina da Kaspersky Lab*, que ocorreu nos dias 13 e 14 de agosto, na Cidade do Panamá.

Na região, o malware mais ativo é o Mirai (backdoor.linux.mirai.c), uma ferramenta que permite o atacante tomar o controle do dispositivo, criando uma rede de botnets que pode ser usada em vários ataques e sem que o dono do aparelho tome conhecimento.

Nem tão smart assim…

As Smart TVs representam 70% dos aparelhos de Internet das Coisas na região, no momento. Neste pacote, estão incluídas as “TV Boxes”, aqueles aparelhos já bastante populares vendidos no mercado brasileiro para assistir TV a cabo pirata. Eles são equipados, em sua grande maioria, com versões antigas do Android, rooteadas e vulneráveis a serem infectadas por malware. Por isso, na soma, o sistema do Google está presente em 40% dos dispositivos. O Tizen, da Samsung, em segundo, com 23%.

Quando o assunto é speakers inteligentes, a região ainda sofre com o delay de lançamentos. Boa parte dos home assistants ainda não têm suporte aos idiomas locais. O Google Home passou a falar a espanhol muito recentemente e segue sem previsão para o português. A Amazon deve resolver isso até o fim deste ano para a Alexa.

E, até lá, há muito a se consertar.

Marques lembra casos em que os assistentes foram acionados por comandos originados em bugs ou imprevistos: as inquietantes risadas da Alexa e as gravações feitas pelo Google Home sem autorização, ou ainda a pane durante o Super Bowl que fez o assistente do Google responder a comandos que apareciam em um comercial, expõem o quanto pode ser arriscado ter um aparelho que não obedece a você.

Cinco, de seis aplicativos, falham em segurança

O papo fica sério mesmo quando o assunto envolve segurança física. Marques cita uma pesquisa que aponta que 47% das pessoas que compram fechaduras inteligentes para evitar roubos em casa. Mas, a realidade pode ser diferente. Um ataque de phishing seria o suficiente para tomar o controle do dispositivo e dos IoTs. “Praticamente todos os dispositivos IoT oferecem acesso remoto por celulares. E é aí onde estão muitos dos problemas. Muitas vezes não são vulnerabilidades, mas recursos legítimos”, explica.

“De seis aplicativos de IoT que analisamos, cinco deles não tem nenhum tipo de verificação de ID”, completa. Caso sejam comprometidos [o smartphone, o aparelho IoT ou a rede doméstica], podem responder aos comandos do invasor e, no caso de fechaduras smart, abrir portas para assaltantes, informar sobre a ausência do morador (detectada por sensores) ou transmitir e apagar imagens de câmeras de segurança.

 Thiago Marques pesquisador de segurança da Kaspersky Lab
Thiago Marques pesquisador de segurança da Kaspersky Lab

A Kaspersky não revelou o nome dos aplicativos, por que as empresas ainda não foram notificadas. Tratam-se de apps que comandam eletrônicos como fechaduras, lâmpadas, TVs e outros dispositivos domésticos conectados à Internet e disponíveis no Brasil.

  • 2 aplicativos para controlar IoT de uma marca específica como lâmpada, interruptor de luz e plugues;
  • 1 aplicativo para controlar a campainha inteligente;
  • 2 aplicativos para controlar a câmera conectada;
  • 1 app que verifica o acesso físico relacionado a aspirador de pó (vaccum robots);

“Quem aqui checou se há alguma atualização para o firmware do seu roteador esse mês?”, questionou Marques. Para o especialista, é possível melhorar a segurança dessas aplicações, provando que o dono do aparelho tem acesso físico ao dispositivo.

Mas, enquanto os fabricantes de aplicações para Internet das Coisas não incluírem mais camadas de segurança no desenvolvimento desses aplicativos, como senhas, tokens ou botões nos dispositivos físicos, será preciso que o usuário configure e atualize os aparelhos corretamente para corrigir falhas encontradas com patches fornecidos.

“O que podemos fazer é, em vez de proteger o dispositivo, proteger o roteador Wi-Fi da conexão. Na Kaspersky temos o IoT Scanner [um aplicativo Android que analisa a rede doméstica, lista os dispositivos conectados e revela vulnerabilidades comuns] que ajuda a reconhecer que tipo de dispositivo está conectado à sua rede”, sugere.

No caso de uma fechadura digital, que cria dados sobre todas as vezes que alguém entra ou sai, transmitir as informações, junto à localização do usuário, é preocupante.

*A jornalista viajou para o Panamá a convite da Kaspersky

Relacionados

Escrito por

Melissa Cruz Cossetti

Melissa Cruz Cossetti

Ex-editora

Melissa Cruz Cossetti é jornalista formada pela UERJ, professora de marketing digital e especialista em SEO. Em 2016 recebeu o prêmio de Segurança da Informação da ESET, em 2017 foi vencedora do prêmio Comunique-se de Tecnologia. No Tecnoblog, foi editora do TB Responde entre 2018 e 2021, orientando a produção de conteúdo e coordenando a equipe de analistas, autores e colaboradores.