Uma falha grave de conceção nos novos dispositivos de segurança doméstica Gen 4 da Shelly pode deixar milhões de casas europeias vulneráveis a ataques, alerta a Pen Test Partners.
Investigadores de segurança de uma consultora de cibersegurança afirmam ter descoberto uma vulnerabilidade grave nos produtos de casa inteligente Shelly, fornecedor europeu de sistemas de segurança doméstica.
Atualmente, os produtos Shelly são usados em mais de 5,2 milhões de lares europeus. Este problema de conceção cria uma "porta traseira invisível" para casas particulares que a maioria dos utilizadores nunca irá detetar, alega a Pen Test Partners.
Os novos dispositivos de casa inteligente Shelly Gen 4 mantêm permanentemente ligado o ponto de acesso sem fios usado na configuração inicial, mesmo depois de estarem corretamente ligados à rede Wi‑Fi doméstica, afirma a Pen Test Partners. Fica assim ativa, em segundo plano, uma rede escondida, sem conhecimento nem consentimento dos utilizadores, muito depois da instalação.
Já os modelos anteriores da empresa desligavam automaticamente esse ponto de acesso depois de o equipamento se ligar à rede Wi‑Fi de casa.
A falha pode permitir que qualquer pessoa, do lado de fora de uma casa, utilize a rede Wi‑Fi do residente para abrir a porta de entrada, a porta da garagem ou o portão, criando um risco físico de assaltos e intrusões.
Mas o problema é muito mais profundo. Uma investigação mais alargada da Pen Test Partners sustenta que não se trata apenas de uma falha de conceção.
A vulnerabilidade atual da linha Gen 4 significa que um único dispositivo afetado pode servir de ponto de entrada para aceder a quase todos os equipamentos de casa inteligente, sejam ou não da marca Shelly.
Com muitas casas inteligentes em toda a Europa a funcionarem ainda com redes de gerações mistas, com produtos Shelly e de outros fabricantes, isto pode criar uma grave falta de proteção, tanto online como offline.
Sem medidas corretivas para já
A Pen Test Partners afirmou ter informado a Shelly desta falha de segurança e a empresa indicou que o Firmware 1.8.0, um conjunto de atualizações de dispositivos, iria resolver o problema.
Assim, os utilizadores ficam responsáveis por desativar manualmente os pontos de acesso, algo que muitos proprietários poderão nem saber que é necessário.
“Deviam lançar uma grande campanha de comunicação para explicar que ficou um ponto de acesso aberto e como o desativar. Não o fizeram porque isso provavelmente teria impacto na reputação da empresa”, disse à Euronews Next Ken Munro, fundador da Pen Test Partners.
A Shelly disse à Euronews Next que os utilizadores que seguem os métodos oficiais de instalação através da aplicação móvel veem o ponto de acesso ser desativado automaticamente.
Os utilizadores que optam pela configuração manual recebem avisos para proteger o ponto de acesso. Uma futura atualização de firmware irá desativar automaticamente os pontos de acesso após um determinado período de tempo.
“Gostaríamos de sublinhar que todos os fluxos de configuração e ativos digitais do ecossistema Shelly – incluindo a nossa aplicação móvel e a interface web na nuvem – oferecem orientações claras aos utilizadores sobre como proteger os seus equipamentos”, afirmou um porta-voz da Shelly à Euronews Next.
“Quaisquer escolhas de configuração feitas fora destes procedimentos recomendados, incluindo deixar o ponto de acesso sem proteção, são em última análise uma opção do utilizador e ficam fora do âmbito de controlo direto da plataforma.
Tal como sucede com qualquer dispositivo ligado, os utilizadores continuam livres para configurar o seu hardware de acordo com as suas necessidades, e incentivamo-los ativamente a seguir as recomendações de segurança fornecidas durante a instalação”.
A Shelly acrescentou ainda que, numa próxima versão de firmware, irá introduzir uma melhoria que permite desativar automaticamente o ponto de acesso após um tempo limite pré-definido, exceto quando for explicitamente necessário para configuração ou aprovisionamento
Aumentam vulnerabilidades em dispositivos ligados
Nos últimos anos, um número crescente de dispositivos de casa inteligente e outros aparelhos ligados tem sido alvo de críticas por vulnerabilidades significativas. Entre os equipamentos visados contam-se as campainhas Ring, da Amazon, e as câmaras de vigilância da Dahua
“A nossa especialidade são os dispositivos ligados e testamos todo o tipo de sistemas de casa inteligente”, observou Munro.
“Já encontrámos problemas semelhantes em inversores solares e até detetámos uma vulnerabilidade parecida num automóvel há mais de dez anos”.
A fuga de dados, sobretudo de dados de utilização e de comportamento recolhidos por estes dispositivos de casa inteligente, é outro problema central.
“Por vezes encontramos dados de utilização e de comportamento de pessoas expostos de forma acidental. Os fabricantes de dispositivos inteligentes recolhem dados de utilização para melhorarem os produtos e muitas vezes esquecem-se de que a informação individual pode ser bastante reveladora”, concluiu Munro.