AEMpress
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version

Investigadores de IoT da ESET descobrem múltiplas vulnerabilidades em dispositivos de smart home

22/4/2020

 
Imagem

A equipa de investigação de IoT (Internet das Coisas) da ESET descobriu várias vulnerabilidades em três hubs de smart home diferentes: Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) e eLAN-RF-003.
​
Algumas das falhas de segurança podem ser exploradas por atacantes de forma a executar ataques man-in-the-middle, escutar a vítima, criar backdoors ou obter acesso total a alguns dos dispositivos e respetivos conteúdos. No pior dos casos, estas vulnerabilidades podem até permitir aos atacantes ganhar controlo sobre as unidades centrais e todos os periféricos a elas ligados.

As vulnerabilidades descritas neste artigo foram reportadas aos fabricantes em 2018, tendo estes lançado atualizações para a maior dos problemas. A publicação foi adiada devido à investigação da ESET sobre outras vulnerabilidades que estavam ativas na altura. No entanto, com o atual aumento da relevância da segurança em IoT, a ESET lançou esta compilação de descobertas passadas para informar devidamente todos os utilizadores de dispositivos afetados sobre a necessidade de os atualizar de forma a aumentar a sua segurança e reduzir a exposição a ataques externos.

"Descobrimos que as vulnerabilidades em dispositivos de IoT são um problema frequente. A nossa investigação prova que falhas em configurações, encriptação e autenticação não são exclusivas a dispositivos baratos, estando muitas vezes também presentes em hardware de topo" disse o especialista em Security and Awareness da ESET Ondrej Kubovič.

Um dos dispositivos vulneráveis era o Fibaro Home Center Lite: um controlador de domótica, concebido para gerir uma grande variedade de periféricos numa casa inteligente. Uma análise aprofundada do dispositivo pela equipa de investigação de IoT da ESET revelou uma série de vulnerabilidades graves que abriam a porta para atacantes externos. Uma combinação de falhas encontradas permitia até que um atacante criasse uma backdoor SSH e obtivesse controlo total do dispositivo atacado. Após ser reportada, a vulnerabilidade foi corrigida pelo fabricante.

Outro dispositivo, o HomeMatic CCU2, consistia numa unidade central de uma casa inteligente da eQ-3, apresentado também uma falha de segurança grave que permitia a um atacante executar código remoto não-autorizado como administrador. Esta vulnerabilidade tinha sérias implicações de segurança, incluindo permitir aos atacantes ganhar acesso total aos dispositivos HomeMatic CCU2 e potencialmente também aos periféricos ligados através de comandos shell. O fabricante corrigiu a falha depois desta ser reportada.

O terceiro dispositivo afetado era o módulo RF inteligente eLAN-RF-003, concebido para ser a unidade central de uma casa inteligente, permitindo ao utilizador controlar uma variedade de sistemas domésticos através de uma aplicação instalada num smartphone, smartwatch, tablet ou smart TV. Os resultados dos testes efetuados pela equipa de investigação de IoT da ESET mostraram que era perigoso ligar o dispositivo à Internet ou mesmo só à rede LAN do utilizador devido a uma série de vulnerabilidades críticas. Entre estas incluía-se autenticação inadequada, que permitia que todos os comandos pudessem ser executados sem login. O fabricante corrigiu algumas das vulnerabilidades reportadas, mas depois focou-se no desenvolvimento de novas gerações do dispositivo.

A ESET recomenda assim que todos os utilizadores dos dispositivos mencionados instalem as respetivas atualizações que corrigem as vulnerabilidades descobertas, protegendo-se assim contra eventuais ataques que visem explorar as falhas em dispositivos desatualizados.

Mais informação: https://www.welivesecurity.com/2020/04/22/serious-flaws-smart-home-hubs-is-your-device-among-them/
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Vulnerabilidades-IoT

Os comentários estão fechados.
    Procura imagens de alta resolução? Visite a nossa galeria em fotos.aempress.com

    Marcas e Empresas

    Tudo
    121
    Acer
    AEMpress
    AgfaPhoto
    Angelbird
    AquaTech
    Axpo
    BenQ
    Biliti
    Binance
    Black Rock
    Bowers & Wilkins
    Brennenstuhl
    Camping Car Park
    Casa Da Imprensa
    CobraTether
    Cotton Carrier
    Definitive Technology
    Devolo
    ESET
    Evolution
    Feelworld
    GoodRAM
    Gudsen
    Hama
    Hasselblad
    Hollyland
    HP Instant
    InPost
    Invoxia
    Kevin
    Kodak
    LituFoto
    Lume Cube
    Macrium
    Madoqua
    Marantz
    Masimo
    Mental
    Metz
    Newell
    Open Cosmos
    Peli
    Predator
    Priberam
    QNAP
    Rapoo
    Reflecta
    Robisa
    Rotel
    Rotolight
    Samyang
    SanDisk
    SantaFilm
    Satcab
    SoundUnited
    Sprig
    Tamron
    Thypoch
    TourBox
    Verizon Connect
    WhiteHat
    XEEN
    Xencelabs
    YoloLiv

    Data

    Março 2025
    Fevereiro 2025
    Janeiro 2025
    Dezembro 2024
    Novembro 2024
    Outubro 2024
    Setembro 2024
    Agosto 2024
    Julho 2024
    Junho 2024
    Maio 2024
    Abril 2024
    Março 2024
    Fevereiro 2024
    Janeiro 2024
    Dezembro 2023
    Novembro 2023
    Outubro 2023
    Setembro 2023
    Agosto 2023
    Julho 2023
    Junho 2023
    Maio 2023
    Abril 2023
    Março 2023
    Fevereiro 2023
    Janeiro 2023
    Dezembro 2022
    Novembro 2022
    Outubro 2022
    Setembro 2022
    Agosto 2022
    Julho 2022
    Junho 2022
    Maio 2022
    Abril 2022
    Março 2022
    Fevereiro 2022
    Janeiro 2022
    Dezembro 2021
    Novembro 2021
    Outubro 2021
    Setembro 2021
    Agosto 2021
    Julho 2021
    Junho 2021
    Maio 2021
    Abril 2021
    Março 2021
    Fevereiro 2021
    Janeiro 2021
    Dezembro 2020
    Novembro 2020
    Outubro 2020
    Setembro 2020
    Agosto 2020
    Julho 2020
    Junho 2020
    Maio 2020
    Abril 2020
    Março 2020
    Fevereiro 2020
    Janeiro 2020
    Dezembro 2019
    Novembro 2019
    Outubro 2019
    Setembro 2019
    Agosto 2019
    Julho 2019
    Junho 2019
    Maio 2019
    Abril 2019
    Março 2019
    Fevereiro 2019
    Janeiro 2019
    Novembro 2018
    Outubro 2018

    Feed RSS

Imagem
CONTACTO
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version