Werner Schober é pesquisador da SEC Consult e aluno da Universidade Austríaca de Ciências Aplicadas. Em seu quinto ano, ele enfrentou um problema com o qual muitos de nós estamos bem familiarizados: ele teve que escolher um tema de tese.
Ele começou criando uma nuvem de tags com palavras de tópicos selecionados por seus colegas de curso. Todos os chavões padrão de TI estavam lá: bitcoin, GDPR, nuvem etc. Mas, por algum motivo, não havia Internet das Coisas (IoT), um tema quente atualmente. Foi um acéfalo, especialmente com o trabalho de Werner na SEC Consult, dando-lhe um pouco de experiência sofisticada (ou seja, hackear dispositivos e redes e encontrar vulnerabilidades neles) que poderia ser aplicada em sua pesquisa.
No entanto, o IoT é um conceito muito amplo, cobrindo quase tudo, desde semáforos e marcapassos cardíacos até bules inteligentes. O foco teve que ser estreitado. Mas o lado crítico da infraestrutura da IoT – como os semáforos e marcapassos mencionados anteriormente – já havia sido pesquisado até a morte. Quanto à casa inteligente, com suas chaleiras inteligentes e lâmpadas, isso também foi abordado em profundidade – sem vulnerabilidades realmente críticas. E daí se o seu cortador de grama inteligente sofreu um DDoS? Corte você mesmo a grama por um dia.
Werner optou por uma subcategoria IoT que não tinha sido amplamente pesquisada (embora existam estudos, já que os hackers amam o proibido) e onde as vulnerabilidades podem levar a consequências reais: brinquedos sexuais inteligentes.
Werner testou três aparelhos: dois chineses e um alemão. Adivinhe qual continha mais vulnerabilidades? Alerta de spoiler: foi o último. E como! As vulnerabilidades revelaram-se tão críticas e numerosas que Werner abandonou totalmente os dispositivos chineses e dedicou toda a sua tese ao alemão. Ele relatou suas descobertas no 35º Congresso de Comunicação do Caos (35C3).
O dispositivo alemão é conhecido como Vibratissimo PantyBuster. Ele se conecta a um smartphone Android ou iOS por Bluetooth e é controlado por um aplicativo especial, local ou remotamente, de outro smartphone. No entanto, os recursos do aplicativo são muito mais amplos e consistem essencialmente em uma rede social completa com bate-papos em grupo (!), Galerias de fotos (!!), listas de amigos (!!!) e outros recursos.
Software: conhecendo outros usuários de brinquedos sexuais
Vamos começar com as vulnerabilidades do software. Descobriu-se que o diretório raiz do site Vibratissimo contém um arquivo .DS_Store, basicamente uma lista de todas as pastas e arquivos neste diretório com configurações adicionais que o macOS cria para exibir corretamente os ícones de arquivo e seu layout. Werner conseguiu descriptografar esse arquivo, descobrindo assim os nomes de todas as pastas e arquivos no diretório raiz.
De particular interesse era a pasta Config, que continha um arquivo de mesmo nome com credenciais de login não criptografadas para acesso ao banco de dados. Werner conseguiu encontrar uma interface para se conectar ao banco de dados, inserir as credenciais de login e obter acesso aos dados de todos os usuários do Vibratissimo, incluindo seus nomes de usuário e senhas (novamente armazenados sem criptografia), bem como chats, imagens e vídeos . Que tipo de bate-papo e imagens podem ser encontrados em uma rede social baseada em brinquedos sexuais? Provavelmente de natureza bastante privada.
Outro problema: quando uma galeria é criada no aplicativo, um ID é atribuído a ela. E quando você deseja visualizar a galeria, o aplicativo envia uma solicitação que inclui esse ID. Para fins de teste, Werner criou uma galeria com duas fotos de gatos, obteve o ID e então pensou: O que acontece se o ID na solicitação for ligeiramente modificado, digamos, subtraindo um dele? Como resultado, ele ganhou acesso à galeria de outra pessoa (que não continha fotos de gatos).
O aplicativo também permite que os usuários criem um link de controle rápido para ligar remotamente o dispositivo, que os proprietários podem compartilhar com outras pessoas (para relacionamentos de longa distância e coisas assim). Nenhuma confirmação é necessária quando alguém usa o link – o dispositivo liga imediatamente. O link também contém um ID. Adivinhe o que acontece se você subtrair um deste ID? Isso mesmo, o dispositivo de outra pessoa liga imediatamente.
Além disso, durante a autenticação ao fazer login em seu telefone, o aplicativo envia uma solicitação ao servidor com o nome de usuário e senha não criptografados em texto não criptografado, o que significa que em uma rede pública qualquer um pode interceptá-los – não exatamente o estado do – segurança inicial. Havia outras vulnerabilidades de software também, mas não tão significativas. Mas havia muitos problemas significativos em outras partes – queremos dizer nos níveis de transporte (comunicação do dispositivo) e hardware.
Interface: Conectando-se com estranhos aleatórios
Como já mencionado, o Vibratissimo PantyBuster se conecta a um smartphone por Bluetooth. Mais especificamente, ele usa Bluetooth Low Energy que permite a implementação de uma das cinco técnicas de emparelhamento – meios de troca de chave de acesso para estabelecer uma conexão entre os dispositivos. A senha a ser inserida no smartphone pode ser escrita no próprio dispositivo, mostrada no display ou conhecida antecipadamente (pode ser, digamos, 0 ou 1234). Além disso, os dispositivos podem trocar chaves de acesso usando NFC ou pode não haver nenhum emparelhamento.
O PantyBuster não tem tela e não é habilitado para NFC, portanto, essas opções podem ser riscadas. Duas das opções restantes são um tanto seguras (de alguma forma ), mas os fabricantes do dispositivo valorizaram a simplicidade acima de tudo e, por isso, escolheram uma abordagem básica e insegura: sem emparelhamento. Isso significa que se alguém souber e enviar o comando de ativação do dispositivo, todos os PantyBusters no alcance vibrarão em uníssono. Assim, qualquer pessoa com o aplicativo ativado pode passear no metrô, por exemplo, e surpreender agradavelmente qualquer proprietário “sortudo” que por acaso esteja viajando com seus dispositivos.
Werner escreveu um programa simples que procura dispositivos Bluetooth LE habilitados nas proximidades, verifica se eles são brinquedos sexuais e, em caso afirmativo, os liga com força total. Caso alguém esteja se perguntando, tal ação não é considerada estupro pela lei austríaca, mas o código penal do país contém um parágrafo sobre “atos sexuais indesejados”, e algumas outras regiões também podem ter.
Hardware: o que há dentro
Em primeiro lugar, não há opção para atualizar o firmware. Em outras palavras, o fabricante pode fazer isso, mas não o usuário. Quando informado sobre a pesquisa de Werner, o fabricante sugeriu que os usuários devolvessem seus dispositivos para serem atualizados e, em seguida, devolvidos a eles. Mas é improvável que alguém queira enviar um brinquedo sexual usado para consertar.
Em segundo lugar, se o dispositivo for aberto, é possível encontrar interfaces que o fabricante usou para depuração e depois esqueceu de fechar. Essas interfaces podem ser usadas para extrair e analisar o firmware do dispositivo.
Os problemas de IoT continuam chegando
A palestra de meia hora de Werner foi cheia de problemas e poucas soluções, principalmente porque não havia nenhuma. Claro, Werner entrou em contato com o fabricante e, juntos, eles consertaram a maioria dos problemas no aplicativo e nos novos dispositivos. Mas os problemas de hardware em dispositivos já vendidos estão aí para ficar.
Agora resta apenas repetir o conselho que damos em quase todas as postagens sobre coisas inteligentes: Antes de comprar um dispositivo inteligente, leia sobre ele online. E considere cuidadosamente (pelo menos dez vezes) se você realmente precisa de seus recursos inteligentes. Talvez você possa se contentar com uma versão padrão da mesma coisa que não se conecta à Internet e não é controlada por um aplicativo? Será mais barato e definitivamente mais seguro.
