Dos 10 aplicativos testados, os que acompanham as câmeras inteligentes Blink e Wyze apresentaram as melhores medidas de segurança de contas
Recentemente nosso time de pesquisadores analisou o nível de segurança das contas de aplicativos que acompanham 10 câmeras IPs. Todas elas aparecem nas categorias “Lançamentos” e “Mais vendidos” da Amazon.
O pesquisador de IoT da Avast, Marko Zbirka, verificou se os aplicativos que acompanham essas câmeras inteligentes incluem autenticação de dois fatores, envio de notificação de tentativa de acesso a partir de um novo dispositivo, especialmente se o dispositivo estiver localizado no outro lado do planeta, e se há restrições ao tamanho das senhas.
As 10 câmeras IP analisadas contam com funcionalidades em nuvem. Elas são:
- Blink
- Wyze
- YI IOT
- YI Home
- Wansview Cloud
- MIPC
- Jawa
- CloudEdge
- Amcrest Cloud
- iCSee
Os aplicativos que acompanham essas câmeras foram baixados mais de 50 mil vezes, sendo que quatro deles foram baixados mais de 1 milhão de vezes.
Verificação da segurança das contas
Nosso time de pesquisadores baixou os aplicativos usados para conectar e controlar as câmeras, criando contas em cada um deles. Depois de fazer o login, ele buscou pelas opções de troca de senha e definição de uma autenticação de dois fatores. Depois, ele usou um segundo smartphone com aplicativo VPN para se conectar a um servidor fora do país de origem. Assim, a comunicação a partir daquele dispositivo pareceria estar sendo feita de outro país.
“Tentei acessar minha própria conta com uma senha errada por mais de 10 vezes. O objetivo era verificar se os aplicativos identificariam um tentativa de ataque de força bruta. Depois disso, fiz o login com as credenciais de acesso corretas para verificar se receberia uma notificação sobre um novo acesso feito a partir de local e dispositivo diferentes dos habituais”, explica Marko Zbirka, pesquisador da área de IoT da Avast. “Na sequência, verifiquei se o tráfego entre o aplicativo e o servidor do fabricante era criptografado. Dos dez aplicativos analisados, somente dois tinham o que poderia ser considerado como um nível aceitável de medidas de segurança de conta”, completa.
Os dois aplicativos que contam com as melhores seguranças básicas de conta, segundo Zbirka, foram o Blink e o Wyze. O aplicativo Blink pede que os usuários insiram uma senha de uso único para adicionar um novo dispositivo. Além disso, ele notifica os usuários em caso de tentativas de ataque de força bruta ou quando um acesso é feito com um novo dispositivo.
O Wyze oferece autenticação de dois fatores, mesmo que não seja uma configuração padrão. O aplicativo dá aos usuários a escolha de envio do código de autenticação por mensagem de texto ou aplicativo de autenticação, o que acaba com o risco de acesso por alguém que eventualmente ganhe acesso ao e-mail ligado à conta comprometida. O Wyze alerta o usuário - não o dono da conta, mas o do dispositivo que tenta fazer o login - caso muitas tentativas de acesso sejam feitas.
“Esperava que todos os aplicativos tivessem algum tipo de autenticação de dois fatores, preferivelmente via aplicativo de autenticação, e não limitassem o tamanho da senha - alguns dos aplicativos restringem a senha para um máximo de 16 caracteres - e alertas notificando o usuário sobre logins feitos a partir de novos dispositivos e localizações desconhecidas”, diz Zbirka.
De acordo com o especialista, o aplicativo MIPC oferece a pior segurança de conta, sem proteção contra ataques de força bruta, tampouco notificações. O procedimento de redefinição de senha é transmitido por protocolo não criptografado HTTP.
Pontos importantes ao escolher uma câmera IP
Segundo Zbirka, quando o consumidor for comprar uma câmera IP conectada à nuvem para instalar em casa ou no escritório, é importante saber com que frequência o dispositivo recebe atualizações e ficar atento aos níveis de segurança da conta que acompanha o aplicativo do aparelho. Idealmente um aplicativo deve contar com os seguintes métodos de segurança:
- Autenticação de dois fatores, preferivelmente via um aplicativo de autenticação
- Não restringir o tamanho máximo da senha (alguns aplicativos permitem senhas de no máximo 16 ou 32 caracteres)
- Envio de notificações aos usuários sobre logins feitos por dispositivos novos ou em localidades diferentes das habituais
Confira a análise completa da nossa equipe de pesquisa em Avast Decoded*.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
