Hackers invadem termostato para nos lembrar que a internet das coisas ainda é insegura

Hackers mostraram como invadiram um termostato inteligente para instalar um ransomware. Internet das coisas precisa percorrer um longo caminho para ser segura.

Hackers já conseguem instalar um ransomware em um termostato inteligente, em uma demonstração de como os dispositivos da internet das coisas ainda são inseguros.

Durante a conferência de segurança DEF CON, a dupla de hackers do Pen Test Partners demonstrou como conseguiu hackear um termostato inteligente e instalar um ransomware nele. Assim, os hackers poderiam aumentar ou diminuir a temperatura dentro de uma casa à distância enquanto exigem uma recompensa das vítimas.

O problema das casas inteligentes
A casa do futuro com redes, fechaduras e padrões ativados por voz

Mas a dupla não quer causar pânico e caos, e sim demonstrar como os dispositivos da internet das coisas ainda são muito vulneráveis e, se o mundo vai realmente usar essas coisas no futuro, é bom que eles tenham mais proteção contra hackers.

O Pen Test Partners usou um bug em um termostato inteligente em particular, mas eles não especificaram o modelo que usaram – disseram que avisariam a fabricante do dispositivo após a conferência, e que a correção para ele deve ser simples de ser feita.

Para conseguir invadir o termostato, a dupla comprou um aparelho e fuçou nos arquivos da FCC (órgão dos EUA semelhante à Anatel) em busca de informações públicas sobre as entranhas do dispositivo – detalhes de chipset, fotos internas, entre outras coisas. Eles descobriram, assim, que aquele modelo rodava Linux.

E mais: ele também tinha uma tela, e uma entrada de cartão SD que podia ser usada para configurar papéis de parede a serem exibidos nessa tela. Ao analisar o cartão SD, eles perceberam que o termostato não conferia que tipo de arquivo estava tentando rodar, e que tentaria rodar tudo o que estiver dentro de um cartão. Assim, eles encontraram uma forma de modificar o sistema operacional do aparelho – e usaram isso para instalar o código do ransomware no aparelho.

O golpe funcionaria, então, com o hacker enviando um arquivo com código malicioso disfarçado de uma imagem, por exemplo, para a vítima colocar como papel de parede do termostato. Quando o dispositivo executasse o código do ransomware, o controle do aparelho passaria para os hackers, que poderiam exigir uma recompensa ou então colocariam a temperatura no máximo possível, ou no mínimo.

Não é um golpe simples de ser executado e pode muito bem dar errado, mas pouco importa – o fato dos dispositivos da internet das coisas serem tão inseguros e vulneráveis mesmo a esses ataques é preocupante demais, especialmente se todas as empresas de olho nesse mercado realmente esperam que a gente coloque todos os aparelhos da nossa casa na internet. Quem vai usar uma fechadura inteligente que pode ser facilmente hackeada?

[Motherboard, Bleeping Computer]

Imagem via Ken Munro/Pen Test Partners

Sair da versão mobile