Terceiro episódio da série Retrospectiva 2019: os ataques digitais à nossa casa através dos dispositivos da Internet das Coisas (IoT)
Prosseguindo em nossa série Retrospectiva 2019, chegou a vez de analisar os ataques digitais contra a segurança e a privacidade em nossa própria casa, através dos dispositivos inteligentes conectados, a Internet das Coisas (IoT).
A invasão das coisas conectadas
1. Tecnologia “ajuda” um menino de 6 anos a “enganar” a mãe
Mãe flagra o próprio filho conversando com a Assistente de voz Alexa da Amazon e pedindo que ela fizesse sua lição de casa de matemática. A inteligência artificial tirou dez na prova, mas a mãe ficou preocupada que o filho não aprendesse e ficasse dependente da máquina no futuro.
O pequeno Jariel perguntou “Alexa, o que é 5 menos 3”. O dispositivo respondeu “5 menos 3 são 2”. A mãe estava filmando tudo com o celular e “pergunta o que ele está fazendo” com um simples grito: “Boy?!”.
O vídeo* viralizou no Twitter (8,5 milhões) e muitos comentários elogiaram a esperteza do menino utilizando a tecnologia. A mãe tirou o dispositivo do alcance do filho, pelo menos enquanto ele estiver estudando.
Em outro caso, na Carolina do Norte, Mary Beth Foster disse que as primeiras palavras do seu filho foram “OK, Google”. E papagaios já aprenderam a pedir um sorvete* à Alexa.
Um hacker conhecido como Giraffe invadiu mais de 5 mil SmartTVs e fez propaganda do canal de PewDiePie no YouTube. Em 2018, ele já havia sequestrado impressoras (isso mesmo!) para que imprimissem propaganda de inscrição no canal sueco de Felix Kjellberg.
Desta vez, o ataque foi inocente, mas mostra a vulnerabilidade dos roteadores e dos dispositivos conectados, que podem ser facilmente encontrados pelo buscador Shodan* e convertidos em uma rede zumbi.
4. Patinetes elétricos hackeados
Vídeo mostra falha de segurança que permite invadir os patinetes via Bluetooth, controlar a velocidade e até travá-lo no meio da rua. A Xiaomi disse que não consegue consertar a falha (no modelo M365) porque a fabricação dos patinetes foi terceirizada. Os pesquisadores informaram que outros modelos e outras marcas podem conter a mesma falha.
Alguns meses depois, 8 modelos diferentes da empresa Lime foram invadidos, mas apenas para alterar os arquivos de áudio dos equipamentos por frases com palavrões e conteúdo sexual. A maioria das mensagens são difíceis de entender:
Ok, se você for montar na minha bunda, por favor, puxe meu cabelo, ok? Não me tire daqui porque eu não gosto que montem em cima mim.
Os crimes digitais relacionados vão desde colocar um falso QR code e acelerar os patinetes ao máximo até fraudes para usar os patinetes de graça.
Um estudo mostrou que 20 pessoas se ferem com fraturas e hemorragias a cada 100 mil viagens. A metade das vítimas sofreu ferimentos na cabeça e, dentre estas, 15% foram gravemente atingidas no cérebro. Acidentes fatais já ocorreram.
Especialistas em segurança sugerem uma auditoria independente nas empresas de patinetes elétricos e melhor treinamento dos usuários, já que 60% dos acidentes acontece na primeira viagem, além da obrigatoriedade do uso de um capacete.
5. Roteadores e repetidores Wi-Fi da TP-Link sob ataque
A TechCrunch* revelou que centenas de roteadores da companhia chinesa TP-Link contém, desde 2017, uma falha que permite que cibercriminosos o controlem remotamente. Atualize o firmware (software) no site do fabricante e altere imediatamente a senha padrão do seu roteador.
Os roteadores podem ser sequestrados e passar a fazer parte de uma rede zumbi, como a rede Mirai* que derrubou dezenas de sites como os do Twitter, Spotify, SoundCloud, The Guardian, Netflix, Reddit, CNN e muitos outros. No mundo, nossos dados permitem estimar que 129 a 149 mil roteadores correm risco.
O Brasil é o país mais atingido pela falha nos roteadores WR740N (Imagem: Shodan)
Uma das formas mais comuns como os cibercriminosos ganham dinheiro é através da implantação de malwares que mineram criptomoedas – como no caso dos roteadores da MikroTik usados pela Telefonica/Vivo – ou desviam as vítimas para sites falsos (a função Site Real do Avast Premier protege você contra esses golpes de phishing).
Outra falha grave de segurança foi descoberta em vários modelos de repetidores da TP-Link que pode permitir a invasão remota completa da rede Wi-Fi, o acesso a todos os dispositivos e o roubo de dados, incluindo senhas. Atualize imediatamente o firmware dos repetidores seguindo o passo a passo para cada modelo: RE350, RE365, RE500 e RE650.
E não foram apenas os TP-Links que sofreram ataque. O Huawei HG532, o Realtek RTL81XX e o Zyxel P660HN-T1A também têm falhas de segurança que permitem sequestrar o roteador e torná-los zumbis em ataques de negação de serviço (DDoS) e derrubar os servidores dos jogos Counter Strike e Team Fortress 2.
6. Adolescente ataca e bloqueia dispositivos
Light Leafon – pseudônimo de um adolescente de 14 anos iraniano – usou o novo malware Silex para destruir o armazenamento de dispositivos inteligentes e bloqueá-lo completamente (brick) e pode ter destruído permanente ou temporariamente mais de dez milhões de dispositivos IoT
O adolescente usa as credenciais padrão (usuário e senha) para invadir os aparelhos e, por isso, especialistas sempre recomendam a troca da senha padrão por outra mais forte.
7. Russos invadem redes via impressoras e dispositivos IoT
A Microsoft detectou que os mesmos grupos cibercriminosos russos – Strontium, Fancy Bear e APT28 – estão usando telefones VOIP (voz sobre IP), impressoras conectadas à internet e outros dispositivos inteligentes (que usam senhas padrão ou não foram atualizados) para invadir redes. Os mesmos grupos foram acusados de invadir o Comitê do Partido Democrata dos EUA em 2016 e dos ataques do ransomware NotPetya contra a Ucrânia em 2017.
8. Falha de segurança nos Assistentes de voz
Uma falha de segurança permite transformar os Assistentes de voz em uma ferramenta para golpes de phishing ou espionagem. Aplicativos de terceiros usam um truque para continuar escutando você o tempo todo. Depois de dar falsas mensagens de erro, o usuário é induzido a corrigir o problema informando suas senhas.
Extremo cuidado ao instalar apps de terceiros nos assistentes de voz. Foto: SRLabs
9. A ameaça dos carregadores USB públicos
Especialistas continuam aconselhando a não utilizar estações de carregamento USB em locais públicos, pois podem distribuir malware (inclusive para dispositivos iOS*), roubar senhas e logs, e até gravar o que se passa na tela do dispositivo. Sugerem o uso de tomadas elétricas, não usar cabos e adaptadores de terceiros ou usar isoladores USB.
Quais as dicas para melhorar a segurança dos dispositivos IoT e roteadores?
Procure comprar apenas aparelhos que ainda estejam recebendo atualizações de segurança
Atualize o firmware (software) dos seus equipamentos nos sites dos fabricantes
Habilite o firewall e desative o acesso remoto ao roteador
Sempre altere qualquer senha padrão de fábrica por outra mais forte
Desabilite a função WPS (conexão fácil) dos aparelhos
Desligue a função Universal Plug & Play (que facilita a adição de dispositivos à rede, mas é a porta de entrada para invasões)
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.