Uma análise em 16 milhões de lares em todo o mundo mostra que muitos consumidores ainda usam senhas padrão vindas de fábrica em seus aparelhos.
No maior estudo* global sobre a Internet das Coisas (IoT, da sigla em inglês) nas casas de consumidores, pesquisadores da Avast e da Universidade de Stanford revelam um surpreendente aumento no número de dispositivos IoT presente nas residências e lança luz sobre o grande número de aparelhos que continuam a usar senhas fracas.
O estudo é a primeira análise empírica em larga escala de dispositivos IoT que usa varreduras de rede iniciadas pelos próprios usuários de 83 milhões de dispositivos em 16 milhões de casas ao redor do mundo.
As descobertas serão publicadas no estudo, All Things Considered: An Analysis of IoT Devices on Home Networks (Todas as coisas consideradas: uma análise de dispositivos IoT em redes domésticas, em tradução livre), que será apresentado nesta semana, durante a USENIX Security. Pesquisadores da Avast escanearam os aparelhos para entender a distribuição de dispositivos IoT por tipo e fabricante e, também, para entender os perfis de segurança de cada um deles. As descobertas foram validadas e analisadas em colaboração com pesquisadores de Stanford.
Evidência concreta de padrões suspeitos
Os pesquisadores dizem que é vital que a comunidade de segurança entenda os tipos de dispositivos IoT que os consumidores instalam e como eles estão distribuídos regionalmente, dada a crescente implicação de segurança e privacidade dessas máquinas. Os novos dados oferecem evidências concretas de padrões que eram suspeitos, mas que ainda não haviam sido comprovados.
“A comunidade de segurança tem discutido por muito tempo a questão dos problemas de segurança ligados ao emergente mercado de dispositivos IoT. Infelizmente, por vários anos, esses dispositivos permaneceram escondidos atrás de roteadores domésticos e tivemos poucos dados em larga escala sobre os tipos de dispositivos instalados nas residências. Esses dados nos ajudam a lançar uma luz no aumento global da IoT e nos tipos de problemas de segurança presentes nos dispositivos usados pelas pessoas”, conta Zakir Durumeric, professor da Universidade de Stanford.
O estudo quantifica o predomínio e a distribuição de dispositivos IoT e os seus fornecedores. Além disso, a análise olha para as diferenças em dispositivos populares e fornecedores em diferentes regiões geográficas. Por exemplo, dispositivos de mídia são populares no mundo todo, mas um pouco menos na Ásia e na África. Já no sul da Ásia conta com maior proporção de dispositivos de vigilância, como câmeras, do que em outras regiões.
Além disso, ao mesmo tempo em que há milhares de fabricantes de dispositivos IoT ao redor do globo, apenas 100 fabricantes respondem por mais de 90% dos aparelhos comercializados, enquanto 400 respondem por 99% do total. Alguns tipos de dispositivos são quase que totalmente dominados por um ou dois fabricantes. Por exemplo, a Amazon e o Google produzem 92% de todos os assistentes de voz.
Na frente da segurança, a pesquisa da Avast descobriu uma tendência preocupante. Dispositivos IoT usam amplamente protocolos FTP e Telnet. A Avast descobriu que mais de 8% de todos os dispositivos IoT usam esses protocolos e uma ampla porcentagem deles conta com credenciais de acesso fracas. Ainda que 8% possa não parecer um número muito grande, se for extrapolado a aproximadamente 7 bilhões de dispositivos IoT no mundo, temos a exorbitante quantidade de 560 milhões de aparelhos utilizando protocolos antigos.
“Esses são protocolos antigos; apesar de serem fáceis e convenientes, estão cheios de problemas de segurança. Eles simplesmente não foram desenvolvidos para serem seguros. A grande difusão do seu uso é uma indicação do terrível estado de segurança desses dispositivos. Junto com credenciais de acesso fracas, esses aparelhos são alvos inofensivos apenas esperando por ataques de malwares como o Mirai. Isso sem contar que essas vulnerabilidades em roteadores domésticos colocam toda a casa em risco”, explica Deepali Garg, cientista sênior de dados da Avast.
Como a pesquisa foi feita
Houve diversas considerações éticas ligadas aos dados. O escaneamento feito pela Avast coletou dados de dentro das casas dos usuários somente nos casos em que eles concordaram explicitamente em compartilhar dados com a pesquisa durante o processo de instalação do programa.
Todos os dados usados pelo estudo foram coletados a partir de escaneamentos iniciados pelos próprios usuários. Além disso, os usuários foram informados sobre qualquer tipo de vulnerabilidade encontrada em sua rede e a Avast não compartilhou diretamente nenhum dado dos usuários com nenhum colaborador.
A larga escala do estudo e a visão global presente da IoT pretendem ajudar a indústria de cibersegurança como um todo a resolver esses desafios crescentes, escreveram os pesquisadores, declarando: “Esperamos que nossas análises ajude a comunidade de segurança a focar esforços no desenvolvimento de soluções que sejam aplicáveis na prática a dispositivos IoT e residências”.
* Original em inglês.