Travas inteligentes podem ser facilmente hackeadas, alerta especialista

Pesquisadores de segurança usaram o evento de segurança Def Con, em Las Vegas, na última semana para mostrar como é fácil abrir travas inteligentes baseadas em Bluetooth.

Os pesquisadores Ben Ramsey e Anthony Rose, da Merculite Security, analisaram 16 travas inteligentes de fabricantes como Ceomate, Elecycle, iBlulock, Mesh Motion, Okidokey, Plantraco, Quicklock e Vians. 

E os resultados não foram nada animadores. Segundo os especialistas, 12 dessas 16 travas podem ser hackeadas, sendo muitas delas podem ser invadidas com pouco ou nenhum esforço.

Os slides da apresentação da dupla no evento foram disponibilizados no repositório on-line GitHub.

O principal pecado: quatro das travas analisadas enviavam as senhas em texto padrão entre a trava e o app para smartphone correspondente. Isso é algo muito problemático e que permitiu que os hackers white hat conseguissem a senha usando um “farejador” open source de Bluetooth.

Outra trava usava a sua própria criptografia proprietária, o que geralmente costuma ser uma péssima ideia já que criptografia criada especialmente para algo costuma receber poucos testes em busca de buracos de segurança. Neste caso, os pesquisadores conseguiram entrasse em modo de erro ao alterar apenas um byte na criptografia, o que levou à abertura dela.

E os especialistas não foram atrás apenas de travas de portas. Eles também analisarem uma trava Bluetooth de bicicleta e conseguiram realizar um ataque man-in-the-middle para abri-la.

Segurança fraca para travas inteligentes já é algo ruim o bastante. Mas pior ainda foi o fato de que, após contatar todas as 12 fabricantes das travas abertas, os pesquisadores receberam apenas uma resposta - que não foi nada boa, já que a companhia disse que não ia solucionar o problema.

Para pressionar as empresas a resolverem esses bugs, os pesquisadores disseram que vão lançar publicamente as ferramentas de hacking que usaram em sua análise. 

Fonte:IDGNOW