Hackers já conseguem instalar um ransomware em um termostato inteligente, em uma demonstração de como os dispositivos da internet das coisas ainda são inseguros.
Durante a conferência de segurança DEF CON, a dupla de hackers do Pen Test Partners demonstrou como conseguiu hackear um termostato inteligente e instalar um ransomware nele. Assim, os hackers poderiam aumentar ou diminuir a temperatura dentro de uma casa à distância enquanto exigem uma recompensa das vítimas.
• O problema das casas inteligentes
• A casa do futuro com redes, fechaduras e padrões ativados por voz
Mas a dupla não quer causar pânico e caos, e sim demonstrar como os dispositivos da internet das coisas ainda são muito vulneráveis e, se o mundo vai realmente usar essas coisas no futuro, é bom que eles tenham mais proteção contra hackers.
O Pen Test Partners usou um bug em um termostato inteligente em particular, mas eles não especificaram o modelo que usaram – disseram que avisariam a fabricante do dispositivo após a conferência, e que a correção para ele deve ser simples de ser feita.
Para conseguir invadir o termostato, a dupla comprou um aparelho e fuçou nos arquivos da FCC (órgão dos EUA semelhante à Anatel) em busca de informações públicas sobre as entranhas do dispositivo – detalhes de chipset, fotos internas, entre outras coisas. Eles descobriram, assim, que aquele modelo rodava Linux.
E mais: ele também tinha uma tela, e uma entrada de cartão SD que podia ser usada para configurar papéis de parede a serem exibidos nessa tela. Ao analisar o cartão SD, eles perceberam que o termostato não conferia que tipo de arquivo estava tentando rodar, e que tentaria rodar tudo o que estiver dentro de um cartão. Assim, eles encontraram uma forma de modificar o sistema operacional do aparelho – e usaram isso para instalar o código do ransomware no aparelho.
O golpe funcionaria, então, com o hacker enviando um arquivo com código malicioso disfarçado de uma imagem, por exemplo, para a vítima colocar como papel de parede do termostato. Quando o dispositivo executasse o código do ransomware, o controle do aparelho passaria para os hackers, que poderiam exigir uma recompensa ou então colocariam a temperatura no máximo possível, ou no mínimo.
Não é um golpe simples de ser executado e pode muito bem dar errado, mas pouco importa – o fato dos dispositivos da internet das coisas serem tão inseguros e vulneráveis mesmo a esses ataques é preocupante demais, especialmente se todas as empresas de olho nesse mercado realmente esperam que a gente coloque todos os aparelhos da nossa casa na internet. Quem vai usar uma fechadura inteligente que pode ser facilmente hackeada?
[Motherboard, Bleeping Computer]
Imagem via Ken Munro/Pen Test Partners