iLnkP2P: Milhões de dispositivos smarts de consumidores expostos por grave falha de segurança
Um pesquisador de segurança descobriu falhas graves em um recurso de software da Internet das Coisas (IoT) chamado iLnkP2P, que torna os milhões de dispositivos de consumo vulneráveis a descoberta remota e sequestro.
Publicada por Paul Marrapese, nem a iLnkP2P nem a empresa chinesa que a desenvolveu, a Shenzhen Yunni Technology, serão nomes conhecidos das pessoas que compram os produtos que a contêm.
Apesar disso, o iLnkP2P foi identificado em pelo menos dois milhões de dispositivos fabricados por empresas como HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight e HVCAM.
O objetivo do software é permitir que dispositivos de IoT, como webcams de segurança, monitores de bebês e campainhas inteligentes sejam configurados rapidamente, sem precisar saber como abrir portas no firewall de um roteador de banda larga.
Em vez disso, os consumidores podem ligar seu novo dispositivo e conectar-se instantaneamente a ele de maneira ponto a ponto (P2P) usando um aplicativo em seu computador inserindo um identificador exclusivo (UID). Agradável e fácil de usar, mas não é uma boa arquitetura do ponto de vista da segurança.
As falhas
A principal falha do iLnkP2P é o CVE-2019-11220, que, por razões compreensíveis, Marrapese não detalha, mas ele diz que permite que invasores realizem ataques man-in-the-middle e roubem senhas de dispositivos no caminho para a aquisição de um dispositivo.
No entanto, é a segunda falha, CVE-2019-11220, que permite que os invasores descubram quais dispositivos são vulneráveis à fraqueza acima e os alcancem mesmo quando estão do outro lado de um firewall aparentemente seguro usando a Tradução de Endereço de Rede ( NAT).
A maioria dos dispositivos não parece usar criptografia. Marrapese até acusa um fornecedor de mentir sobre o estado da criptografia que eles usam.
Qualquer dispositivo que use o iLnkP2P está em risco. A maneira mais fácil de determinar se um dispositivo está usando isso é procurar o UID impresso em um adesivo na lateral do dispositivo (que corresponde às três primeiras das quatro letras). Isto pode então ser comparado com a lista de 91 UIDs conhecidos publicados por Marrapese.
No entanto, esta lista não é completa – pode haver outros dispositivos não listados que usam o iLnkP2P e têm UIDs diferentes.
Tapando o buraco
Para os proprietários desses dispositivos, parece não haver muitas atenuações além do bloqueio manual da porta UDP do software, 32100. Isso permitirá o acesso local ao bloquear o tráfego remoto. Alternativamente, escreve Marrapese:
Compre um novo dispositivo de um fornecedor respeitável. Pesquisas sugerem que uma correção dos fornecedores é improvável, e esses dispositivos são muitas vezes crivados de outros problemas de segurança que colocam seus proprietários em risco.
Com certeza, quando Marrapese contatou os fabricantes afetados várias vezes entre janeiro e fevereiro, ele não ouviu nada de volta.
E isso é o que acontece com tantos dispositivos de IoT, especialmente aqueles produzidos de maneira barata e rápida por fabricantes que parecem mais preocupados em mudar unidades do que se preocupar com o pós-venda. O fato de que existe uma falha – e uma grande falha nisso – não tem relação com a possibilidade de alguma vez ser corrigida.
Talvez pessimista, mas é uma questão fundamental. Qualquer pessoa que compra um produto que não pode ou não será atualizado está comprando algo com uma expectativa de vida muito curta.
Às vezes é dito que os usuários não se importam o suficiente com a segurança para agir em prol de seus próprios interesses, mas é difícil acreditar que alguém que compra uma webcam treinada na parte interna de sua casa fique feliz com a idéia de cibercriminosos assumirem o controle.
Isso segue uma série cansativa de ameaças de segurança da IoT, incluindo que muitos dos aplicativos usados para controlar esses dispositivos têm suas próprias fraquezas de segurança.
Com informações dos parceiros da Naked Security, um blog da Sophos.