Pesquisa de Ameaças

Vasculhamos o mundo da IoT e descobrimos que as coisas não são bem como você pensa

Jeff Elder, 17 Julho 2019

Pesquisadores da Avast e da Universidade de Stanford analisaram 83 milhões de dispositivos IoT em 16 milhões de lares e descobriram 3 grandes verdades que você não escuta falar por aí.

A Internet das Coisas (IoT, da sigla em inglês) é o rótulo que se dá a essas novas engenhocas que tornam nossas vidas mais confortáveis e sofisticadas, pelo menos até que as máquinas se voltem contra os seus usuários e causem o colapso desse sistema.

Pelo menos essa é a narrativa que sempre aparece na cultura popular. As pesquisas e a mídia também reforçam a visão de que uma grande variedade de aparelhos sofisticados está reunida em uma grande rede interconectada. O problema é que, quando olhamos para a IoT nas casas das pessoas, as coisas não funcionam exatamente assim.

Pesquisadores da Avast e da Universidade de Stanford analisaram 16 milhões de residências e 83 milhões de dispositivos em varreduras iniciadas pelos próprios usuários desses aparelhos. O estudo descobriu três grandes verdades sobre a segurança de dispositivos inteligentes que você provavelmente nunca ouviu falar.

Não há uma Internet das Coisas, mas muitas delas

Os tipos de dispositivos IoT normalmente encontrados nas casas das pessoas variam enormemente de uma região para outra. Câmeras de segurança são muito populares no sul e sudeste da Ásia, enquanto aparelhos de escritório, como impressoras e máquinas de fax, prevalecem no leste da Ásia e na África Subsaariana. Assistentes domésticos estão presentes em 10% das casas da América do Norte, mas ainda precisam percorrer um longo caminho para conquistar outros mercados.

A segurança dos dispositivos IoT também varia muito entre as regiões. Ao examinar os serviços abertos dos aparelhos, os pesquisadores descobriram credenciais de acesso fracas e brechas para ataques já conhecidos.

Um território dominado por poucos

Mais de 90% dos dispositivos IoT são produzidos por apenas 100 fabricantes. Por conta disso, os autores da pesquisa dizem que medidas de segurança desenvolvidas por eles podem ter impactos globais. “Isso coloca essas empresas em uma posição privilegiada no sentido de assegurar que os consumidores tenham acesso a dispositivos que garantam privacidade e segurança”, diz Rajarshi Gupta, chefe de Inteligência Artificial da Avast.

Alguns tipos de aparelhos são dominados por poucas marcas. Por exemplo, a Amazon e o Google respondem por 90% dos dispositivos com assistência de voz existentes no mundo. De forma semelhante, o mercado de consoles de videogames é dominado por três grandes empresas em quase todos os cantos do globo: a Microsoft, a Sony e a Nintendo.

Antigos e negligenciados

Os pesquisadores também descobriram que há uma falta de entendimento fundamental referente ao tipo de dispositivos adotados pelos consumidores e sua configuração. Um estudo recente de segurança focou em novos dispositivos IoT para casas, como trancas inteligentes e automação residencial. Os resultados sugerem que ao mesmo tempo em que esses aparelhos ganham importância em algumas partes do ocidente, ainda estão longe de ser os itens IoT mais comuns ao redor do mundo.

Na verdade, dispositivos IoT domésticos são melhor representados por Smart TVs, impressoras, videogames e aparelhos de vigilância. Todos esses são eletrônicos que estão conectados às redes de nossas casas há mais de uma década e contam com um sistema de segurança mais fraco.

“É preciso prestar atenção a esses dispositivos, porque as redes domésticas são tão seguras quanto seus pontos mais fracos”, alerta Deepali Garg, cientista de dados senior da Avast. “Em vez de se preocupar com os últimos aparelhos inteligentes, os consumidores deveriam dedicar alguns minutos para cuidar da segurança de suas impressoras e dos consoles de videogames que já possuem faz alguns anos”.

Os pesquisadores recomendam que a comunidade de segurança digital comece a enfrentar esses desafios, começando por encorajar que os grandes fabricantes desses aparelhos adotem práticas de segurança mais adequadas. Do lado político, organismos encarregados pela aplicação das leis e entidades legais começam a tomar medidas para combater práticas fracas de segurança, diz o relatório. Descubra aqui (em inglês) como verificar a segurança do seu dispositivo inteligente.

Como a privacidade foi garantida nesse estudo

Para esse relatório, pesquisadores da Avast e da Universidade de Stanford coletaram dados de varreduras feitas pelos próprios usuários em suas respectivas redes. A informações partiram de 16 milhões de residências que concordaram em compartilhar dados com a finalidade que fossem usados na área de pesquisa e desenvolvimento.

Para assegurar que os dados fossem coletados conforme as expectativas dos usuários, os pesquisadores só receberam informações estatísticas sobre as casas onde os usuários concordaram explicitamente em compartilhar dados para fins de pesquisa.

Os pesquisadores não acessaram em nenhum momento dados sobre casas ou usuários específicos; nenhuma informação pessoal que poderia revelar a identidade de alguém foi compartilhada.

As descobertas desse estudo foram publicadas em um novo relatório, que será apresentado durante a Conferência Usenix Security 2019, “Todas as coisas consideradas: uma análise dos dispositivos IoT nas redes domésticas”, que pode ser acessado aqui.