Um pesquisador de segurança descobriu falhas graves em um recurso de software da Internet das Coisas (IoT) chamado iLnkP2P, que torna os milhões de dispositivos de consumo vulneráveis ​​a descoberta remota e sequestro.

Publicada por Paul Marrapese, nem a iLnkP2P nem a empresa chinesa que a desenvolveu, a Shenzhen Yunni Technology, serão nomes conhecidos das pessoas que compram os produtos que a contêm.

Apesar disso, o iLnkP2P foi identificado em pelo menos dois milhões de dispositivos fabricados por empresas como HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight e HVCAM.

O objetivo do software é permitir que dispositivos de IoT, como webcams de segurança, monitores de bebês e campainhas inteligentes sejam configurados rapidamente, sem precisar saber como abrir portas no firewall de um roteador de banda larga.

Em vez disso, os consumidores podem ligar seu novo dispositivo e conectar-se instantaneamente a ele de maneira ponto a ponto (P2P) usando um aplicativo em seu computador inserindo um identificador exclusivo (UID). Agradável e fácil de usar, mas não é uma boa arquitetura do ponto de vista da segurança.

As falhas

A principal falha do iLnkP2P é o CVE-2019-11220, que, por razões compreensíveis, Marrapese não detalha, mas ele diz que permite que invasores realizem ataques man-in-the-middle e roubem senhas de dispositivos no caminho para a aquisição de um dispositivo.

No entanto, é a segunda falha, CVE-2019-11220, que permite que os invasores descubram quais dispositivos são vulneráveis ​​à fraqueza acima e os alcancem mesmo quando estão do outro lado de um firewall aparentemente seguro usando a Tradução de Endereço de Rede ( NAT).

A maioria dos dispositivos não parece usar criptografia. Marrapese até acusa um fornecedor de mentir sobre o estado da criptografia que eles usam.

Qualquer dispositivo que use o iLnkP2P está em risco. A maneira mais fácil de determinar se um dispositivo está usando isso é procurar o UID impresso em um adesivo na lateral do dispositivo (que corresponde às três primeiras das quatro letras). Isto pode então ser comparado com a lista de 91 UIDs conhecidos publicados por Marrapese.

No entanto, esta lista não é completa – pode haver outros dispositivos não listados que usam o iLnkP2P e têm UIDs diferentes.

Tapando o buraco

Para os proprietários desses dispositivos, parece não haver muitas atenuações além do bloqueio manual da porta UDP do software, 32100. Isso permitirá o acesso local ao bloquear o tráfego remoto. Alternativamente, escreve Marrapese:

Compre um novo dispositivo de um fornecedor respeitável. Pesquisas sugerem que uma correção dos fornecedores é improvável, e esses dispositivos são muitas vezes crivados de outros problemas de segurança que colocam seus proprietários em risco.

Com certeza, quando Marrapese contatou os fabricantes afetados várias vezes entre janeiro e fevereiro, ele não ouviu nada de volta.

E isso é o que acontece com tantos dispositivos de IoT, especialmente aqueles produzidos de maneira barata e rápida por fabricantes que parecem mais preocupados em mudar unidades do que se preocupar com o pós-venda. O fato de que existe uma falha – e uma grande falha nisso – não tem relação com a possibilidade de alguma vez ser corrigida.

Talvez pessimista, mas é uma questão fundamental. Qualquer pessoa que compra um produto que não pode ou não será atualizado está comprando algo com uma expectativa de vida muito curta.

Às vezes é dito que os usuários não se importam o suficiente com a segurança para agir em prol de seus próprios interesses, mas é difícil acreditar que alguém que compra uma webcam treinada na parte interna de sua casa fique feliz com a idéia de cibercriminosos assumirem o controle.

Isso segue uma série cansativa de ameaças de segurança da IoT, incluindo que muitos dos aplicativos usados ​​para controlar esses dispositivos têm suas próprias fraquezas de segurança.

Com informações dos parceiros da Naked Security, um blog da Sophos.