O pesquisador de segurança da Avast, Martin Hron, explica por que os Assistentes inteligentes podem ser o próximo grande alvo dos cibercriminosos.
A Juniper Research prevê que, em 2022, mais da metade das residências americanas contará com Assistentes inteligentes como o Alexa da Amazon e o Google Home, e é fácil entender o porquê. Eles nos dão resposta para qualquer pergunta que possamos sonhar, dando-nos música e entretenimento sob demanda, lidando com nossas compras online, eles são um passo gigantesco em direção aos robôs que todos imaginamos quando vimos os dróides C-3PO e R2-D2.
Mas, por mais irresistíveis que sejam para os consumidores de hoje, eles são duplamente “úteis” para os cibercriminosos que querem invadir ao máximo. Esses Assistentes acumulam informações pessoais e permissões de nível mais profundo, quanto mais os incorporamos em nossas vidas, mais eles se tornam tesouros virtuais para os criminosos que querem roubar sua identidade ou o seu dinheiro.
Há dois problemas de segurança que podemos sinalizar desde o início: pouca segurança interna e dificuldade para configurá-los para operar adequadamente. Os desenvolvedores que estão mais interessados em tornar os dispositivos tão fáceis e convenientes quanto possível muitas vezes não dedicam muito desenvolvimento à segurança. A boa notícia é que esses dispositivos são configurados em um piscar de olhos, mas a má notícia é que eles também podem ser invadidos em um piscar de olhos. Além da segurança interna insatisfatória, os usuários normalmente ficam tão animados com o seu “brinquedinho” que não dedicam tempo para alterar as configurações padrão.
Qualquer um na sua casa pode dizer “Alexa, leia-me os meus emails”
Se o Assistente permanecer em sua configuração padrão, à medida que o usuário vincular várias contas a ele – Spotify, Amazon, Google – a permissão para acessar essas contas será concedida a qualquer pessoa que solicitar algo à Alexa. Os usuários precisam adotar o hábito de tornar cada login o mais seguro possível ao configurar uma nova conta ou dispositivo.
O comando vem de fora da casa
A chave para invadir o seu Assistente ou qualquer um dos seus dispositivos IoT é através do seu roteador, que é a porta de entrada de toda a sua rede doméstica conectada. Se um cibercriminoso invadir o roteador, ele poderá comprometer todos os computadores e dispositivos conectados a ele. E se qualquer um desses dispositivos, além do Assistente, tiver recursos de áudio, o hacker pode fazer com que o dispositivo vocalize os comandos para o Assistente, por exemplo, desbloqueando a porta da frente ou abrindo a garagem. Antes que você perceba, todos os seus pequenos dispositivos estão se comunicando como um exército de traidores.
Potenciais falhas ocultas
Em geral, Assistentes e dispositivos de IoT são uma tecnologia relativamente nova, o que deve deixar um usuário com algum conhecimento de tecnologia um pouco cauteloso. Alguns palestrantes já foram afetados pela vulnerabilidade BlueBorne do Bluetooth. Seria um crime (literalmente) se outro incidente do Eternal Blue ocorresse, ou seja, uma falha crítica encontrada em um dispositivo ou sistema operacional que já tenha sido amplamente distribuído. Poderia haver uma vulnerabilidade desconhecida nos Assistentes, esperando apenas para que um cibercriminoso descubra e se aproveite dela? Espero que não, mas aqueles de nós que trabalhamos com segurança cibernética estamos observando atentamente a indústria de IoT.
Neste momento, os Assistentes são normalmente envolvidos em um ataque mais amplo, como hacks de Bluetooth e sequestro de roteadores. À medida que mais residências instalem os Assistentes e mais pessoas começam a confiar neles, suspeito que começaremos a ver mais ataques cibernéticos direcionados especificamente aos Assistentes pelos ricos dados que eles permitem acessar.
Por enquanto, os proprietários dos Assistentes devem ficar cientes dos riscos. No mínimo, precisam alterar as configurações padrão para aumentar a segurança durante a instalação do dispositivo, mas melhor ainda seria uma proteção de segurança forte para o seu roteador. Meu desejo é que os Assistentes e os dispositivos de IoT sejam fornecidos com altos padrões de segurança já de fábrica, de modo que teríamos que, se fosse necessário, nós é que optaríamos por desativar parte dessa segurança. Infelizmente, nos dias de hoje, em nome da conveniência acontece o contrário, então o melhor que podemos fazer é ficar bem informados e vigilantes.