AEMpress
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version

Investigadores de IoT da ESET descobrem múltiplas vulnerabilidades em dispositivos de smart home

22/4/2020

 
Imagem

A equipa de investigação de IoT (Internet das Coisas) da ESET descobriu várias vulnerabilidades em três hubs de smart home diferentes: Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) e eLAN-RF-003.
​
Algumas das falhas de segurança podem ser exploradas por atacantes de forma a executar ataques man-in-the-middle, escutar a vítima, criar backdoors ou obter acesso total a alguns dos dispositivos e respetivos conteúdos. No pior dos casos, estas vulnerabilidades podem até permitir aos atacantes ganhar controlo sobre as unidades centrais e todos os periféricos a elas ligados.

As vulnerabilidades descritas neste artigo foram reportadas aos fabricantes em 2018, tendo estes lançado atualizações para a maior dos problemas. A publicação foi adiada devido à investigação da ESET sobre outras vulnerabilidades que estavam ativas na altura. No entanto, com o atual aumento da relevância da segurança em IoT, a ESET lançou esta compilação de descobertas passadas para informar devidamente todos os utilizadores de dispositivos afetados sobre a necessidade de os atualizar de forma a aumentar a sua segurança e reduzir a exposição a ataques externos.

"Descobrimos que as vulnerabilidades em dispositivos de IoT são um problema frequente. A nossa investigação prova que falhas em configurações, encriptação e autenticação não são exclusivas a dispositivos baratos, estando muitas vezes também presentes em hardware de topo" disse o especialista em Security and Awareness da ESET Ondrej Kubovič.

Um dos dispositivos vulneráveis era o Fibaro Home Center Lite: um controlador de domótica, concebido para gerir uma grande variedade de periféricos numa casa inteligente. Uma análise aprofundada do dispositivo pela equipa de investigação de IoT da ESET revelou uma série de vulnerabilidades graves que abriam a porta para atacantes externos. Uma combinação de falhas encontradas permitia até que um atacante criasse uma backdoor SSH e obtivesse controlo total do dispositivo atacado. Após ser reportada, a vulnerabilidade foi corrigida pelo fabricante.

Outro dispositivo, o HomeMatic CCU2, consistia numa unidade central de uma casa inteligente da eQ-3, apresentado também uma falha de segurança grave que permitia a um atacante executar código remoto não-autorizado como administrador. Esta vulnerabilidade tinha sérias implicações de segurança, incluindo permitir aos atacantes ganhar acesso total aos dispositivos HomeMatic CCU2 e potencialmente também aos periféricos ligados através de comandos shell. O fabricante corrigiu a falha depois desta ser reportada.

O terceiro dispositivo afetado era o módulo RF inteligente eLAN-RF-003, concebido para ser a unidade central de uma casa inteligente, permitindo ao utilizador controlar uma variedade de sistemas domésticos através de uma aplicação instalada num smartphone, smartwatch, tablet ou smart TV. Os resultados dos testes efetuados pela equipa de investigação de IoT da ESET mostraram que era perigoso ligar o dispositivo à Internet ou mesmo só à rede LAN do utilizador devido a uma série de vulnerabilidades críticas. Entre estas incluía-se autenticação inadequada, que permitia que todos os comandos pudessem ser executados sem login. O fabricante corrigiu algumas das vulnerabilidades reportadas, mas depois focou-se no desenvolvimento de novas gerações do dispositivo.

A ESET recomenda assim que todos os utilizadores dos dispositivos mencionados instalem as respetivas atualizações que corrigem as vulnerabilidades descobertas, protegendo-se assim contra eventuais ataques que visem explorar as falhas em dispositivos desatualizados.

Mais informação: https://www.welivesecurity.com/2020/04/22/serious-flaws-smart-home-hubs-is-your-device-among-them/
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Vulnerabilidades-IoT

Comments are closed.
    Procura imagens de alta resolução? Visite a nossa galeria em fotos.aempress.com

    Marcas e Empresas

    All
    121
    ABC
    Acer
    AEMpress
    AgfaPhoto
    Angelbird
    ANT
    AquaTech
    Audiolab
    Audioquest
    Axpo
    BenQ
    Biliti
    Binance
    Bose
    Bowers & Wilkins
    Braven
    Brennenstuhl
    Casa Da Imprensa
    Cotton Carrier
    Definitive Technology
    Denon
    Denon Pro
    Devolo
    Drink6
    Dynaudio
    EARPRO
    ESET
    Esoterico
    Evolution
    Feelworld
    Focal
    Fortis
    Fyne Audio
    GoodRAM
    Gudsen
    Hama
    Hasselblad
    Hollyland
    House Of Marley
    IFi
    Infinite Connections
    InPost
    Invoxia
    Iron Annie
    JAM
    Kali Audio
    KEF
    Kevin
    KOSS
    LituFoto
    Lume Cube
    Macrium
    Madoqua
    Marantz
    Mental
    Metz
    Mondial Relay
    NAD
    Naim
    Newell
    NextBITT
    Peli
    Perfume's Club
    Polk
    Powergrip
    Predator
    Priberam
    Pro Ject
    Pro-Ject
    QNAP
    Rapoo
    Reflecta
    Roberts
    Robisa
    Rotel
    Rotolight
    Samyang
    Sarteaudio
    Satcab
    Shure
    Smartaudio
    SoundUnited
    SRI
    SupportView
    Tamron
    Tivoli Audio
    TourBox
    Vostok Europe
    Wharfedale
    WhiteHat
    XEEN
    Xtorm
    ZAGG

    Data

    December 2022
    November 2022
    October 2022
    September 2022
    August 2022
    July 2022
    June 2022
    May 2022
    April 2022
    March 2022
    February 2022
    January 2022
    December 2021
    November 2021
    October 2021
    September 2021
    August 2021
    July 2021
    June 2021
    May 2021
    April 2021
    March 2021
    February 2021
    January 2021
    December 2020
    November 2020
    October 2020
    September 2020
    August 2020
    July 2020
    June 2020
    May 2020
    April 2020
    March 2020
    February 2020
    January 2020
    December 2019
    November 2019
    October 2019
    September 2019
    August 2019
    July 2019
    June 2019
    May 2019
    April 2019
    March 2019
    February 2019
    January 2019
    November 2018
    October 2018

    RSS Feed

Imagem
CONTACTO
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version