2019/01/31

Lâmpadas inteligentes da Xiaomi e LIFX revelam password da rede WiFi


Relembrando-nos dos efeitos secundários da "Internet of Things", da próxima vez que deitarem fora uma lâmpada inteligente podem também estar a divulgar inadvertidamente a password da vossa rede WiFi.

Um investigador tem passados os últimos meses entretido a abrir smart lamps de variados fabricantes, e tem encontrado um padrão preocupante, de que poucos levam a questão da segurança a sério. Embora dê um pouco de trabalho, aceder ao circuito interno das lâmpadas da Xiaomi, LIFX e lâmpadas genéricas que usam a cloud Tuya, permite revelar a password da rede WiFi a que estavam ligadas.


As vulnerabilidades não se ficam por aqui, com as lâmpadas a permitirem também a alteração do seu código (poderiam teoricamente ser "infectadas" com malware).

Embora o risco se possa considerar diminuto, uma vez que será necessário ter acesso físico às lâmpadas, abre no entanto algumas possibilidades que será preciso ter em conta. Por exemplo, será recomendável ter mais cuidado com a forma como se deitam estas lâmpadas fora  ou de considerar a possível vertente de ataque no caso de se terem lâmpadas deste tipo no exterior (na eventualidade de se querer salvaguardar contra um ataque onde um vizinho roube temporariamente uma destas lâmpadas, e com isso consiga aceder à rede WiFi).

Por estas e por outras, torna-se cada vez mais recomendável criar diferentes redes WiFi e segmentar o seu acesso, de modo a que quem eventualmente conseguir entrar na rede WiFi dedicada às lâmpadas não ter as portas abertas a tudo o que temos na rede interna. Uma vez que se vai demonstrando que os fabricantes não levam a questão da segurança a sério... terão que ser os próprios utilizadores a protegerem-se o mais possível.

3 comentários:

[pub]