Como lâmpadas inteligentes podem roubar sua senha
Se estiver conectado à Internet, pode ser hackeado – sim, até mesmo algumas das melhores lâmpadas inteligentes . Embora as lâmpadas inteligentes facilitem o ajuste da iluminação e do ambiente da sua sala, elas se conectam ao Wi-Fi, o que as torna suscetíveis a ataques. Pesquisadores da Universita di Catania e da Universidade de Londres descobriram uma vulnerabilidade específica na lâmpada inteligente TP-Link Tapo L530E e no aplicativo TP-Link Tapo que a acompanha. Parece que os hackers poderiam obter acesso às suas senhas apenas através da lâmpada inteligente.
Hoje em dia, os dispositivos inteligentes são cada vez mais proeminentes nos lares de todo o mundo. A TP-Link Tapo L530E é uma lâmpada inteligente popular, o que levou os pesquisadores a analisá-la e tentar encontrar falhas em sua segurança. Infelizmente, encontraram pelo menos quatro vulnerabilidades, todas decorrentes do facto de as medidas de segurança da lâmpada poderem ser insuficientes.
A primeira falha, considerada uma vulnerabilidade de alta gravidade, decorre do fato de que os invasores poderiam potencialmente se passar pelo Tapo L503E durante a troca de chaves da sessão. Pontuada com 8,8 na escala de gravidade, esta vulnerabilidade supostamente permite que o hacker roube as senhas Tapo do usuário e assuma o controle de seus dispositivos inteligentes. A segunda falha de alta gravidade (avaliada em 7,6) está relacionada ao código de soma de verificação fraco usado pelas lâmpadas inteligentes, o que torna mais fácil para possíveis invasores descobrirem, seja por força bruta ou pelo código do Tapo. aplicativo.
As outras duas vulnerabilidades são menos graves. Uma delas diz respeito ao fato de que há uma falta significativa de aleatoriedade durante a criptografia, o que torna mais fácil para os agentes da ameaça prever e decodificar o esquema criptográfico. Por último, parece que quaisquer mensagens recebidas pela lâmpada inteligente permanecem acessíveis aos invasores durante 24 horas inteiras.
Que bem pode fazer hackear uma lâmpada inteligente? Bem, acontece que é mais perigoso do que parece. A vulnerabilidade mais bem avaliada permite que invasores se façam passar por sua lâmpada inteligente e roubem os detalhes do seu Tapo. A partir de então, eles poderão ver seu SSID e senha de Wi-Fi, o que potencialmente exporia todos os outros dispositivos conectados a essa rede. Felizmente, parece que o dispositivo precisa estar no modo de configuração para que o ataque seja possível — mas os hackers podem remover a autenticação da lâmpada inteligente, forçando o uso do modo de configuração.
Também existe potencial para um ataque Man-in-the-Middle (MITM), que depende da vulnerabilidade mencionada para recuperar chaves de criptografia RSA que podem ser usadas posteriormente para trocar dados. Em última análise, parece que não apenas as credenciais do Tapo, mas também as senhas de Wi-Fi e outros dados potencialmente confidenciais podem estar em risco.
Os pesquisadores descreveram todas as quatro vulnerabilidades em um artigo , que foi então divulgado pela Bleeping Computer . Antes de tornar o assunto público, divulgaram as vulnerabilidades à TP-Link, que prometeu atualizar o firmware da lâmpada para corrigir esses problemas. No entanto, não está claro quanto tempo levará para que isso seja resolvido.
O que você pode fazer para se manter seguro? Acima de tudo, não negligencie o uso da autenticação multifator (MFA) em todos os dispositivos e aplicativos que permitem isso. Use senhas seguras e nunca use a mesma senha duas vezes. Quanto aos dispositivos domésticos inteligentes em geral, se você puder mantê-los longe de redes importantes, talvez seja melhor, pois muitas vezes eles não oferecem o mesmo tipo de segurança que você esperaria de dispositivos mais avançados.
